El enjuiciamiento de un exjefe de seguridad de Uber por su manejo de un hackeo masivo tiene a otros en la industria preocupados por tener que rendir cuentas personalmente por las decisiones tomadas en el trabajo.
Un jurado encontró el miércoles al exjefe de seguridad de Uber culpable de delitos federales por encubrir un hackeo masivo que comprometió información personal de usuarios y conductores, según informes de medios estadounidenses.
Joseph Sullivan fue declarado culpable de obstruir el trabajo de la Comisión Federal de Comercio y de no informar a las autoridades sobre un delito cuando ocultó un hackeo de 2016 en lugar de denunciarlo, según los medios de comunicación.
Sullivan podría ser sentenciado a prisión.
Sullivan buscó sobornar a los piratas canalizando dinero a través de un programa de "recompensa por errores" que recompensa a los desarrolladores por revelar vulnerabilidades de seguridad sin causar ningún daño, según la denuncia penal.
Uber pagó a los piratas informáticos USD 100 000 en criptomonedas bitcoin en diciembre de 2016, y Sullivan quería que firmaran acuerdos de confidencialidad que prometían no revelar nada sobre el asunto, dijeron los fiscales.
Sullivan fue director de seguridad de Uber desde abril de 2015 hasta noviembre de 2017.
La denuncia penal sostiene que Sullivan engañó al nuevo director ejecutivo de Uber, Dara Khosrowshahi, designado a mediados de 2017 para reemplazar a Travis Kalanick, sobre la violación.
"Silicon Valley no es el Lejano Oeste", dijo el fiscal federal David Anderson para el Distrito Norte de California en un comunicado cuando se presentaron los cargos.
"No toleraremos encubrimientos corporativos. No toleraremos pagos ilegales de dinero secreto".
Dos miembros del equipo de seguridad de la información de Uber que "dirigieron la respuesta" que incluía no alertar a los usuarios sobre la violación de datos fueron despedidos de la empresa con sede en San Francisco, según Khosrowshahi.
El jefe de Uber dijo que se había enterado de que personas externas irrumpieron en un servidor basado en la nube utilizado por la empresa para obtener datos y descargaron una cantidad significativa de información.
Los archivos robados incluían nombres, direcciones de correo electrónico y números de teléfono móvil de millones de pasajeros, y los nombres y la información de la licencia de conducir de unos 600 000 conductores, según Uber.
El cofundador y jefe destituido, Kalanick, fue informado de la violación poco después de que se descubriera, pero no se hizo público hasta que Khosrowshahi se enteró del incidente, según una fuente de AFP.
Uber no respondió a una solicitud de comentarios sobre el veredicto.
Casey Ellis, fundador y CTO de Bugcrowd, un líder en seguridad cibernética de fuentes colectivas con sede en San Francisco, dijo:"Es un precedente significativo que ya ha conmocionado a la comunidad de CISO (directores de seguridad de la información)".
"Destaca la responsabilidad personal que implica ser un CISO en un entorno dinámico de políticas, legal y de atacantes".
© 2022 AFP Estados Unidos acusa al exjefe de seguridad de Uber de encubrimiento de hackeo
