Bivši šef bezbednosti Ubera proglašen krivim za prikrivanje krađe podataka

Vesti, 06.10.2022, 12:30 PM

Bivši direktor bezbednosti Ubera Džo Salivan proglašen je krivim za prikrivanje hakerskog napada koji se dogodio 2016. godine kada su hakeri ukrali lične podatke više od 57 miliona ljudi. Informacije ukradene od Ubera uključivale su imena, email adrese i brojeve telefona više od 50 miliona korisnika Ubera i 7 miliona vozača, kao i brojeve vozačkih dozvola još oko 600.000 vozača.

Porota je osudila Salivana za pokušaj zataškavanja napada zato što nije otkrio incident Federalnoj komisiji za trgovinu (FTC) i za prikrivanje krivičnog dela od vlasti. Za prvi prekšaj mogao bi da bude osuđen na 5, a za drugi na najviše 3 godine zatvora.

Optužnica protiv Salivana imala je još tri tačke za prevaru, ali su te optužbe odbačene u avgustu. Salivan je bio direktor bezbednosti i u drugim kompanijama, uključujući Facebook i Cloudflare.

„Tehnološke kompanije u severnom okrugu Kalifornije prikupljaju i čuvaju ogromne količine podataka od korisnika“, rekla je američki tužilac Stefani Hinds u izjavi za medije. „Očekujemo da te kompanije zaštite te podatke i da upozore kupce i nadležne organe kada hakeri ukradu takve podatke. Salivan je radio na tome da sakrije kršenje bezbednosti podataka od Federalne trgovinske komisije i preduzeo korake da spreči da hakeri budu uhvaćeni.“

Hakovanje Ubera 2016. dogodilo se kada su dva hakera dobila neovlašćeni pristup rezervnim kopijama baze podataka kompanije, posle čega su kontaktirali Uber i dogovorili plaćanje otkupnine uz obećanje da će obrisati ukradene informacije. Njima je isplaćeno 100.000 dolara u kriptovaluti, a Uber ih je naterao da potpišu ugovor o neotkrivanju kako bi novac koji su dobili bio zaveden kao isplata u sklopu programa kompanije iz kog se isplaćuju nagrade za prijavljene bezbednosne propuste.

Ono što dodatno komplikuje stvari je to što se incident dogodio kada su Ministarstvo pravde SAD i Federalna trgovinska komisija (FTC) već ispitivali kompaniju zbog još jednog incidenta koji se dogodio 13. maja 2014.

U februaru 2015, Uber je otkrio da je jednoj od njegovih baza podataka nepropisno pristupljeno nakon kompromitovanja jednog od ključeva za šifrovanje, što je rezultiralo otkrivanjem imena i brojeva dozvola oko 50.000 vozača. Incident je otkriven 14. septembra 2016. godine.

„Nakon što je doveo korisnike u zabludu o svojim praksama privatnosti i bezbednosti, Uber je pogoršao svoje nedolično ponašanje tako što nije obavestio Komisiju da je pretrpeo još jednu povredu podataka u 2016. dok je Komisija istraživala zapanjujuće slično hakovanje kompanije iz 2014.“, naveo je FTC u izveštaju objavljenom 2018. godine.

Ministarstvo pravde je saopštilo da je Salivan odigrao ključnu ulogu u Uberovom odgovoru FTC-u u vezi sa incidentom iz 2014. godine, pri čemu je optuženi svedočio pod zakletvom 4. novembra 2016. o merama za koje je tvrdio da je kompanija preduzela da zaštiti korisničke podatke. Ali nakon saznanja da je Uber ponovo hakovan, i to samo deset dana nakon njegovog svedočenja u FTC-u, agencija je rekla da je Salivan uradio sve kako bi sprečio da informacije o novom incidentu stignu do FTC-a, umesto da odluči da ga prijavi vlastima i o svemu obavesti korisnike.

Tužilaštvo je takođe optužilo Salivana da je lagao izvršnog direktora Ubera Daru Kosrovšahi, kao i advokate kompanije koji su istraživali incident iz 2016, navodeći da je istina o tome što se dogodilo konačno izašla na videlo u novembru 2017.

Bivši izvršni direktor kompanije Uber Trevis Kalanik saznao je za ovaj sajber napad u novembru 2016. godine i odlučio da policiju ne obavesti o tome, verujući da kompanija može lako i efikasno direktno pregovarati sa napadačima kako bi ograničila štetu.

Međutim, ova tajna je na kraju koštala radnog mesta ljude koji su bili zaduženi za bezbednost Ubera i koji su izgubili posao jer su donosili pogrešne odluke u vezi ovog incidenta.

„Ništa od ovoga nije trebalo da se desi, i ja nemam opravdanja za to“, rekao je tada Kosrovšahi, dodajući da ne može da obriše prošlost ali da može u ime svih zaposlenih da kaže da će učiti iz svojih grešaka. „Mi menjamo način na koji poslujemo, stavljajući integritet u srž svake odluke koju donosimo i trudimo se da zaradimo poverenje naših korisnika.“

Hakeri umešani u incident iz 2016. su priznali krivicu za hakovanje kompanije 2019. godine i od tada čekaju na izricanje kazne.

Uber se prošlog meseca ponovo našao u centru pažnje kada su njegovi sistemi hakovani po treći put a kompanija je za ovaj napad optužila grupu Lapsus$.