Joseph Sullivan di Uber avrebbe pagato Bitcoin per coprire un hack ai database

Joseph Sullivan, ex Chief Security Officer di Uber, è stato accusato di aver pagato un “riscatto” di 100mila dollari in Bitcoin allo scopo di coprire una breccia nei sistemi di sicurezza che ha compromesso i dati personali di milioni di utenti (e conducenti) di Uber, nel 2016.

L’indagine penale annunciata sia dal procuratore degli Stati Uniti David Anderson che dal vice agente speciale in carica dell'FBI Craig Fair, accusa Sullivan di “ostruzione alla giustizia ed errata valutazione di un crimine” non avendo contattato immediatamente le autorità e preferendo pagare invece il riscatto.

La difesa di Sullivan

Un portavoce di Sullivan ha dichiarato: “Sono prive di alcun merito le accuse mosse contro il signor Sullivan, che è un rispettato esperto di sicurezza informatica ed ex assistente procuratore degli Stati Uniti. Questo caso è incentrato su un'indagine sulla sicurezza dei dati presso Uber che veniva garantita da alcuni tra i più importanti esperti di sicurezza del mondo, compreso il signor Sullivan. Se non fosse stato per gli sforzi del signor Sullivan e del suo team, è probabile che le persone responsabili di questo incidente non sarebbero mai state identificate”.

“Fin dall'inizio, il signor Sullivan e il suo team hanno collaborato a stretto contatto con i team legali, di comunicazione ed altri team competenti di Uber, in conformità con le politiche dell'azienda. Queste politiche hanno chiarito che l'ufficio legale di Uber, e non il signor Sullivan o il suo gruppo – era responsabile di decidere se, a chi, e come divulgare la questione”, ha aggiunto.

Joseph Sullivan

Le dinamiche dell’hack di Uber

Secondi i documenti è risultato che tra aprile 2015 e novembre 2017, due persone hanno contattato Sullivan tramite e-mail chiedendogli un pagamento a sei cifre in cambio del silenzio. Per sostenere le loro richieste, gli hacker hanno detto all'ex CSO di aver ottenuto l'accesso al database di Uber. Teniamo presente che quel database conteneva le informazioni di identificazione personale di circa 57 milioni di utenti, inclusi i numeri di patente di guida di circa 600.000 conducenti

“Piuttosto che denunciare la violazione nel 2016, Sullivan avrebbe preso deliberatamente provvedimenti atti ad impedire che la conoscenza della violazione raggiungesse la Federal Trade Commission“, ha affermato la denuncia, aggiungendo che “Sullivan ha cercato di pagare gli hacker incanalando il guadagno attraverso un bug bounty program ed Uber ha pagato agli hacker 100.000 dollari in Bitcoin nel dicembre 2016, nonostante che gli hacker si siano rifiutati di fornire i loro veri nomi”.

Nonostante il loro anonimato, Sullivan avrebbe costretto gli hacker a firmare accordi di non divulgazione, affermando falsamente di non aver rubato o archiviato alcun dato, secondo il documento. Inoltre, anche dopo essere stati identificati dal personale di Uber, e successivamente arrestati, Sullivan avrebbe preteso che gli hacker firmassero copie aggiornate con i loro veri nomi.

La svolta con la nuova gestione di Uber

La nuova gestione di Uber ha scoperto e divulgato pubblicamente la violazione della sicurezza nel seguente novembre del 2017. “Nascondere informazioni su un crimine alle forze dell'ordine è un reato”, ha detto Fair, aggiungendo che “Anche se questo caso è un esempio estremo di un tentativo prolungato di sovvertire le forze dell'ordine, speriamo che le aziende imparino e prendano nota: non aiutare gli hacker criminali a coprire le loro tracce; non aggravare il problema dei propri clienti; e non coprire i tentativi criminali di rubare dati personali”.

Se ritenuto colpevole, Sullivan potrebbe affrontare una pena dal massimo edittale di cinque anni in carcere per l'accusa di ostruzione alla giustizia. “La Silicon Valley non è il Far-West“, ha sintetizzato Anderson, aggiungendo che “Non verranno tollerati insabbiamenti aziendali, oltre che pagamenti illegali di denaro”