L’ancien chef de la sécurité d’Uber reconnu coupable de dissimulation de violation de données

Un jury de la Cour fédérale américaine a trouvé l’ancien directeur de la sécurité d’Uber Joseph Sullivan coupable de ne pas avoir divulgué aux autorités de réglementation une violation des dossiers des clients et des conducteurs en 2016 et d’avoir tenté de dissimuler l’incident.

Sullivan a été reconnu coupable de deux chefs d’accusation : un pour entrave à la justice en ne signalant pas l’incident et un autre pour erreur de prise de vue. Il encourt un maximum de cinq ans de prison pour l’accusation d’entrave, et un maximum de trois ans pour cette dernière.

“Les entreprises technologiques du district nord de la Californie collectent et stockent de grandes quantités de données auprès des utilisateurs”, a déclaré l’avocate américaine Stephanie M. Hinds. a dit dans un communiqué de presse.

“Nous attendons de ces entreprises qu’elles protègent ces données et qu’elles alertent les clients et les autorités compétentes lorsque ces données sont volées par des pirates. Sullivan s’est efforcé de cacher la violation de données à la Federal Trade Commission et a pris des mesures pour empêcher les pirates de se faire prendre.”

Le piratage d’Uber en 2016 s’est produit à la suite de l’accès non autorisé de deux pirates aux sauvegardes de la base de données de l’entreprise, ce qui a incité l’entreprise de covoiturage à payer secrètement une rançon de 100 000 $ en décembre 2016 en échange de la suppression des informations volées.

Uber a également demandé aux extorqueurs de signer un accord de non-divulgation dans le but de faire passer le cambriolage comme une récompense de bug bounty. Les sauvegardes contenaient des données appartenant à 50 millions de passagers Uber et 7 millions de chauffeurs.

Pour compliquer encore les choses, l’incident s’est produit alors que le ministère américain de la Justice et la Federal Trade Commission (FTC) sondaient déjà l’entreprise pour une autre violation de données qui a eu lieu le 13 mai 2014.

En février 2015, Uber révélé que l’une de ses bases de données avait été mal consultée suite à une compromission potentielle de l’une des clés de cryptage, entraînant l’exposition des noms et des numéros de licence d’environ 50 000 conducteurs. L’incident a été découvert le 14 septembre 2016.

“Après avoir trompé les consommateurs sur ses pratiques en matière de confidentialité et de sécurité, Uber a aggravé son inconduite en omettant d’informer la Commission qu’elle avait subi une autre violation de données en 2016 alors que la Commission enquêtait sur la violation étonnamment similaire de l’entreprise en 2014”, a déclaré la FTC. c’est noté en 2018.

Le DoJ a déclaré que Sullivan avait joué un rôle crucial dans l’élaboration de la réponse d’Uber à la FTC concernant la violation de 2014, le défendeur témoignant sous serment le 4 novembre 2016 sur le nombre de mesures qu’il affirmait que l’entreprise avait prises pour sécuriser les données des utilisateurs.

Mais après avoir appris qu’Uber était à nouveau compromis, cela aussi seulement dix jours après son témoignage à la FTC, l’agence a déclaré que “Sullivan a exécuté un stratagème pour empêcher toute connaissance de la violation d’atteindre la FTC” au lieu de choisir de divulguer l’affaire aux autorités et ses utilisateurs.

Les procureurs fédéraux ont également accusé Sullivan d’avoir menti au directeur général d’Uber, Dara Khosrowshahi, ainsi qu’aux avocats externes de la société enquêtant sur l’incident de 2016, déclarant que la “vérité sur la violation” a finalement été révélée en novembre 2017.

De plus, Travis Kalanick, co-fondateur puis PDG d’Uber, qui résigné de la société en juin 2017, aurait approuvé La stratégie de Sullivan pour gérer l’intrusion non autorisée. Kalanick n’a pas été inculpé.

Dans une déclaration partagée avec le New York Times, l’équipe juridique de Sullivan a dit son seul objectif au cours de l’incident et de sa carrière professionnelle a été d’assurer la “sécurité des données personnelles des personnes sur Internet”.

Le développement, qui marque la première fois qu’un cadre supérieur d’entreprise fait face à des accusations criminelles pour une violation de données, survient alors que les deux pirates impliqués dans l’incident de 2016 attendent la condamnation de leur accusations de complot de fraude après avoir plaidé le crime en octobre 2019.

“Les plaidoyers de culpabilité séparés déposés par les pirates démontrent qu’après que Sullivan ait aidé à dissimuler le piratage d’Uber, les pirates ont pu commettre une intrusion supplémentaire dans une autre entité corporative – Lynda.com – et tenter de racheter ces données également”, a souligné le DoJ.

Malgré le fait que les failles de sécurité de 2014 et 2016 se soient reflétées, Uber a été sous le feu des projecteurs le mois dernier pour les mauvaises raisons lorsque ses systèmes ont été piratés une troisième fois dans un piratage qu’il a depuis lié au groupe de cybercriminalité LAPSUS$.

En juillet dernier, Uber a également colonisé avec le DoJ pour payer 148 millions de dollars et a accepté de “mettre en œuvre un programme d’intégrité d’entreprise, des garanties spécifiques de sécurité des données et des plans de réponse aux incidents et de notification des violations de données, ainsi que des évaluations biennales”.

“Le message du verdict de culpabilité d’aujourd’hui est clair : les entreprises qui stockent les données de leurs clients ont la responsabilité de protéger ces données et de faire ce qu’il faut en cas de violation”, a déclaré l’agent spécial du FBI à San Francisco, Robert K. Tripp.