L’ancien responsable de la sécurité d’Uber, Joe Sullivan, a été reconnu coupable d’avoir dissimulé une cyberattaque de 2016 où un pirate informatique avait téléchargé les informations personnelles de plus de 57 millions de personnes. Les informations volées à Uber comprenaient les noms, les adresses e-mail et les numéros de téléphone de plus de 50 millions de passagers Uber et de 7 millions de chauffeurs, ainsi que les numéros de permis de conduire de 600 000 autres chauffeurs.
Comme le rapporte le New York Times et Poste de Washingtonle jury a condamné Sullivan pour deux chefs d’accusation : un pour entrave à la justice en ne révélant pas l’infraction à la FTC et un autre pour erreur de prise de vue, qui dissimule un crime aux autorités.
On pense que c’est la première fois qu’un dirigeant d’entreprise fait l’objet de poursuites pénales pour un piratage.
Il avait fait face à trois chefs d’accusation de fraude électronique, mais les procureurs a rejeté ces accusations en août. Sullivan avait occupé le poste de responsable de la sécurité dans d’autres entreprises, notamment Facebook et Cloudflare, et, en tant que Poste souligne, dans ce cas, il a été opposé au même bureau du procureur américain de San Francisco où il avait précédemment travaillé pour poursuivre les cybercrimes.
Le piratage lui-même a été décrit par l’accusation dans leur plainte originale (PDF), notant que cela reflétait presque exactement une violation d’Uber en 2014 sur laquelle, au moment de l’incident, la FTC enquêtait déjà sur l’entreprise. Au début du procès en septembre, les systèmes d’Uber ont de nouveau été piratés lors d’un piratage lié à un ancien membre présumé du groupe de rançongiciels Lapsus$, l’obligeant à mettre temporairement certains systèmes internes hors ligne.
La violation de 2016 s’est produite lorsque deux étrangers parcourant Github ont trouvé des informations d’identification leur donnant accès au stockage Amazon Web Services (AWS) d’Uber, qu’ils ont utilisé pour télécharger ses sauvegardes de base de données. Les pirates ont ensuite contacté Uber et négocié le paiement d’une rançon en échange d’une promesse de supprimer les informations volées, payées en 100 000 $ en Bitcoin et traitées dans le cadre du programme Bug Bounty de l’entreprise. Ils ont finalement plaidé coupables d’avoir piraté l’entreprise en 2019.
Le nouveau PDG d’Uber a témoigné qu’il « ne pouvait pas faire confiance » à son chef de la sécurité.
Comme le Fois note, on pense que c’est la première fois qu’un dirigeant d’entreprise fait l’objet de poursuites pénales pour un piratage. La condamnation de Sullivan pourrait changer la façon dont les entreprises qui paient discrètement des rançons aux pirates informatiques réagissent à des incidents similaires. Les procureurs ont montré que Sullivan avait partagé les détails du piratage et du paiement avec le PDG d’Uber, Travis Kalanick, ainsi qu’avec l’avocat en chef de la confidentialité de l’entreprise. Ils ont également affirmé qu’il ne l’avait pas révélé à l’avocat général d’Uber et ont déclaré que plus tard, il n’avait pas exposé la véritable portée de l’incident à son nouveau PDG, Dara Khosrowshahi.
Bloomberg rapporte que les procureurs ont fait valoir que Sullivan n’avait pas révélé l’attaque pour protéger sa réputation, car il était censé avoir amélioré la sécurité d’Uber après avoir rejoint l’entreprise en 2015. avoir une peine beaucoup plus courte.
Sous Khosrowshahi, Uber a finalement viré Sullivan, a reconnu publiquement la violation, a payé 148 millions de dollars en litige civil pour la violation des 50 États et a réglé son cas avec les procureurs en juillet dernier, promettant une « pleine coopération » dans l’affaire pénale contre Sullivan. Le 16 septembre, Khosrowshahi témoigné contre lui, en disant: « C’était mon chef de la sécurité et je ne pouvais plus faire confiance à son jugement. » En 2018, après la révélation de la violation, Uber a conclu un accord avec la FTC promettant de maintenir un programme de confidentialité pendant 20 ans et de « signaler à la FTC tout incident signalé à d’autres agences gouvernementales concernant une intrusion non autorisée dans les informations des consommateurs ».
Les avocats de Sullivan ont fait valoir que ses mesures avaient été prises pour empêcher une fuite des données des utilisateurs, qu’il avait informé le PDG et d’autres personnes qui n’avaient pas été inculpées de l’incident, et que son équipe avait finalement identifié les pirates et les avait fait signer des NDA sous leur véritable noms promettant de ne pas divulguer l’information. Dans une déclaration remise au Fois, l’avocat de Sullivan, David Angeli, a déclaré: «M. Le seul objectif de Sullivan – dans cet incident et tout au long de sa brillante carrière – a été d’assurer la sécurité des données personnelles des personnes sur Internet.