L’ex capo della sicurezza di Uber è stato dichiarato colpevole di occultamento di un data breach

Joe Sullivan, ex capo della sicurezza di Uber è stato dichiarato colpevole per non aver denunciato alle autorità un incidente di sicurezza informatica, nello specifico un data breach, avvenuto nel 2016. Joe Sullivan è stato licenziato da Uber nel 2017 ed è stato dichiarato colpevole di ostruzione alla giustizia e occultamento deliberato di reato.

LEGGI ANCHE > Cosa sono i cosiddetti “Uber files” e perché ne parlano tutti i giornali

«Sullivan ha lavorato per nascondere la violazione dei dati alla Federal Trade Commission (FTC) e ha adottato misure per impedire che gli hacker venissero individutati», ha affermato Stephanie Hinds, procuratore statunitense per il distretto settentrionale della California. Il caso, che riguarda un data breach che ha interessato i dati di 57 milioni di passeggeri e conducenti, si è verificato nel 2016 ed è stato rivelato pubblicamente da Uber solo un anno dopo.

La notizia assume una rilevanza particolare in quanto nell’ultimo periodo Uber è stata oggetto di attacchi hacker, il più recente da parte di Lapsus$, e data breach, l’ultimo avvenuto il mese scorso. In questo ultimo caso, Uber aveva avvertito gli utenti di quanto stava accadendo con un tweet in cui aveva parlato di un «incidente di sicurezza informatica».

We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.

— Uber Comms (@Uber_Comms) September 16, 2022

Il data breach del 2016

Nel 2016 due hacker trovarono delle chiavi di accesso allo storage di Uber su Amazon Web Services (AWS), utilizzato dall’azienda per depositare il backup dei propri database. In questo modo hanno ottenuto nomi, e-mail e numeri di telefono di 50 milioni di utenti e 7 milioni di autisti. A questo punto gli hacker hanno contattato Uber e negoziato il pagamento di 100 mila dollari in Bitcoin per eliminare i dati. Uber pagò su disposizione di Sullivan fingendo che l’accaduto fosse parte del programma di ricerca sulla sicurezza Bug Bounty della compagnia, che ricompensa gli hacker leggitimi che trovano vulnerabilità nel sistema e li comunicano alla società che così ha modo di intervenire. Sullivan avrebbe anche fatto firmare degli accordi di riservatezza agli hacker, i quali affermavano falsamente di non aver rubato dati.