Bivši direktor Ubera optužen za prikrivanje hakerskog napada i krađu podataka 2016. godine

Sajber hronika, 21.08.2020, 10:30 AM

Bivši direktor bezbednosti Ubera Džo Salivan optužen je za prikrivanje sajber-napada koji je 2016. godine pretrpela kompanija u kojoj je radio.

Prema saopštenju za medije koje je objavilo američko Ministarstvo pravde, Salivan je namerno preduzeo korake da prikrije i prevari Federalnu komisiju za trgovinu (FTC) u vezi sajber-napada, uključujući i to da je hakerima isplaćeno 100 000 dolara za ćutanje, kako se ne bi saznalo šta se dogodilo.

Američko savezno tužilaštvo tereti Salivana za opstrukciju pavde i pokušaj zataškavanja hakovanja kompanije Uber Technologies 2016. godine.

Napad na Uber rezultirao je krađom imena, email adresa i brojeva telefona 57 miliona Uberovih vozača i korisnika i brojeva vozačkih dozvola oko 600 000 vozača.

Kompanija je ove informacije otkrila javnosti tek godinu dana kasnije, 2017. godine, odmah nakon što je Salivan u novembru napustio Uber.

Kasnije je objavljeno da iza incidenta stoje dva hakera, Brandon Čarls Glover sa Floride i Vasile Merekra iz Toronta, kojima je Salivan odobrio isplatu novca u zamenu za brisanje podataka o klijentima koje su ukrali.

Sve je počelo kada je Salivan, kao predstavnik Ubera, 2016. odgovarao na pitanja FTC-a u vezi sa prethodnim incidentom, sajber-napadom koji se dogodio 2014. godine, a u isto vreme, Brendon i Vasile su ga kontaktirali u vezi nove krađe podataka.

“14. novembra 2016., otprilike 10 dana nakon što je FTC-u dao svoju izjavu, Salivan je primio email od hakera kojim je obavešten da je Uber opet hakovan. Salivanov tim je uspeo da potvrdi kompromitovanje podataka u roku od 24 sata od prijema emaila. Umesto da prijavi kompromitovanje podataka u 2016. godini, Salivan je navodno preduzeo namerne korake da spreči da saznanja o tome stignu do FTC-a.”

Prema sudskim dokumentima, iznos otkupnine plaćen je preko programa kompanije za prijavu bagova, pri čemu je novac koji je iznuđen od kompanije prikazan kao nagrada za "bele šešire" koji su ukazali na bezbednosne probleme, ali nisu ugrozili podatke.

“Uber je hakerima platio 100 000 dolara u decembru 2016. godine, uprkos činjenici da su hakeri odbili da daju svoja prava imena (u to vreme)”, rekli su savezni tužioci. “Pored toga, Salivan je tražio da hakeri potpišu sporazume o neotkrivanju podataka. Ovi sporazumi su sadržali lažnu tvrdnju da hakeri nisu uzeli ili sačuvali bilo kakve podatke.”

Nakon što su zaposleni u Uberu uspeli da identifikuju dve osobe koje su odgovorne za napad, Salivan je dogovorio da hakeri potpišu nove kopije sporazuma o neotkrivanju sa svojim pravim imenima. Novi sporazumi su zadržali lažnu tvrdnju da nema kompromitovanih podataka ali je nova uprava Ubera na kraju otkrila istinu i činjenice o incidentu iznela javno, a FTC-u, u novembru 2017. godine.

Prošle godine, dvojica hakera priznala su krivicu po nekoliko tačaka optužnice, za hakovanje i ucene Ubera, LinkedIna i drugih američkih korporacija.

2018. godine, britanska i holandska povereništva za zaštitu podataka kaznila su i Uber sa 1,1 milion dolara zbog propusta u zaštiti ličnih podataka svojih korisnika tokom sajber-napada 2016. godine.

Ako Salivan bude proglašen krivim za prikrivanje napada, mogao bi da bude kažnjen zatvorskom kaznom u trajanju do osam godina, kao i novčanom kaznom do 500 000 dolara.