Ex-chefe de segurança do Uber é condenado por ocultar crime

O ex-diretor de segurança da Uber foi condenado por não informar às autoridades americanas sobre uma invasão dos bancos de dados da empresa em 2016.

Um júri em San Francisco considerou Joe Sullivan – demitido do Uber em 2017 – culpado de obstrução da justiça e ocultação de um crime.

Cada vez mais, as empresas negociam com hackers de ransomware.

Mas os investigadores disseram que devem “fazer a coisa certa” quando seus sistemas são violados.

A condenação é uma reviravolta dramática para Sullivan, que em determinado momento de sua carreira processou crimes cibernéticos para o escritório do procurador-geral de São Francisco.

Após a condenação de Sullivan, seu advogado, David Angeli, disse que “o único foco do Sr. Sullivan, neste incidente e ao longo de sua distinta carreira, tem sido garantir a segurança dos dados pessoais das pessoas na internet”, informou o Washington Post.

Mas os promotores disseram que o caso era um alerta para as empresas.

“Esperamos que essas empresas protejam esses dados e alertem os clientes e as autoridades competentes quando esses dados forem roubados por hackers”, disse a advogada Stephanie M Hinds.

A Sra. Hinds acusou Sullivan de trabalhar para esconder a violação de dados do regulador dos EUA, a Federal Trade Commission (FTC), acrescentando que ele “tomou medidas para evitar que os hackers sejam pegos”.

Na época, a FTC já estava investigando o Uber após um hack de 2014.

Quando foi hackeado novamente, os invasores enviaram um e-mail a Sullivan e disseram que haviam roubado uma grande quantidade de dados, que eles excluiriam em troca de um resgate, de acordo com o Departamento de Justiça dos EUA (DOJ).

A equipe que trabalha para Sullivan confirmou que os dados, incluindo cerca de 57 milhões de registros de usuários do Uber e 600.000 números de carteira de motorista, foram roubados.

De acordo com o DOJ, Sullivan providenciou para que os hackers recebessem $ 100.000 (£ 89.000) em bitcoin em troca da assinatura de acordos de não divulgação para não revelar o hack a ninguém,

Os hackers foram pagos em dezembro de 2016, embora tenham se recusado a fornecer seus nomes verdadeiros.

O pagamento foi disfarçado como uma “recompensa por bug”, uma recompensa usada para pagar pesquisadores de segurança cibernética que divulgam vulnerabilidades para que possam ser corrigidas.

O Washington Post informou que o processo permitiu que o Uber reunisse pistas sobre os dois hackers. A empresa acabou identificando a dupla – ambas já condenadas por crimes – em janeiro de 2017 e exigiu que assinassem novos acordos em seus próprios nomes.

Essa convicção causou arrepios na espinha de muitos executivos de segurança cibernética.

Com gangues de ransomware organizadas, equipes de hackers apoiadas pelo governo e crianças anarquistas visando empresas, ser um diretor de segurança da informação já é um trabalho assustador.

Sullivan sendo condenado pessoalmente por uma decisão tomada em nome de seu empregador estabelece um precedente assustador, dizem alguns.

Para observadores, os crimes cometidos por Sullivan em 2016 também são estranhos para os padrões de hoje.

Negociar com hackers e pagá-los para ficarem quietos é literalmente feito todos os dias agora por corporações atingidas por gangues de ransomware.

A principal diferença aqui, segundo o júri, é que Sullivan tentou encobrir.

Dar aos criminosos cibernéticos o que eles querem não carrega mais a seriedade de antes, mas as empresas, antes e agora, devem sempre ser transparentes sobre como respondem a incidentes cibernéticos que os afetam e a seus clientes.

O DOJ disse que Sullivan “orquestrou esses atos apesar de saber que os hackers estavam hackeando e extorquindo outras empresas, assim como a Uber, e que os hackers obtiveram dados de pelo menos algumas dessas outras empresas”.

Uma nova equipe de gerenciamento da Uber acabou relatando a violação à FTC em 2017, após realizar sua própria investigação.

Em 2018, a Uber pagou US$ 148 milhões aos estados dos EUA para resolver as reclamações de que demorou a revelar o hack.

Decisão de choque
O veredicto foi uma surpresa para muitos que trabalham com segurança de computadores. Na época, Sullivan teria informado algumas figuras importantes da Uber sobre a ameaça.

O tribunal também ouviu que o conselho jurídico interno sugeriu que não havia necessidade de divulgar o hack se os invasores fossem identificados e concordou em excluir os dados e não divulgá-los ainda mais.

Respondendo ao julgamento, o Dr. Ilia Kolochenko, fundador da ImmuniWeb e membro da Europol Data Protection Experts Network, escreveu: “O caso Uber é apenas mais um exemplo ilustrativo da tendência global em desenvolvimento de responsabilizar os executivos de segurança cibernética por suas empresas violações de dados.

“Conduta imprópria grave, como ocultação deliberada de uma violação de dados, apesar da exigência regulatória de relatar a violação para mitigar danos, pode até acarretar sanções criminais”.

O Dr. Kolochenko disse que os executivos de segurança cibernética devem verificar com urgência se seus contratos de trabalho abordam questões como a cobertura de honorários advocatícios em caso de ação civil ou acusação em relação às suas responsabilidades profissionais. Os contratos também devem conter uma garantia de que seu empregador não os processará – já que as empresas vitimadas também podem fazer isso em caso de incidentes de segurança, acrescentou.

Sullivan ainda não foi condenado e pode recorrer da sentença.