O ex-chefe de segurança do Uber, Joseph Sullivan, foi acusado de obstrução da justiça nos Estados Unidos.
O homem de 52 anos é acusado de tentar encobrir uma violação de dados em 2016 que expôs os detalhes de 57 milhões de motoristas e passageiros do Uber.
A empresa já havia admitido ter pago a um grupo de hackers um resgate de US $ 100.000 (£ 75.000) para excluir os dados roubados.
O Sullivan foi demitido em 2017, quando a violação de dados foi revelada.
As acusações feitas pelo Departamento de Justiça dos EUA afirmam que Sullivan tomou “medidas deliberadas” para impedir a Comissão Federal de Comércio (FTC) de descobrir sobre o hack.
Ele é acusado de aprovar o pagamento de US $ 100.000 aos hackers, feito em bitcoin.
O pagamento foi disfarçado como uma recompensa de “recompensa por bug”, usada para pagar pesquisadores de segurança cibernética que divulgam vulnerabilidades para que possam ser corrigidas.
As acusações alegam que ele pediu aos hackers que assinassem acordos de não divulgação, afirmando falsamente que não haviam roubado nenhum dado do Uber.
“O Vale do Silício não é o Velho Oeste”, disse o advogado americano David Anderson. “Esperamos boa cidadania corporativa. Esperamos relatórios imediatos de conduta criminosa. Esperamos cooperação com nossas investigações. Não vamos tolerar encobrimentos corporativos.”
Um porta-voz de Sullivan disse que negou as acusações.
“Se não fosse pelos esforços do Sr. Sullivan e de sua equipe, é provável que os indivíduos responsáveis por este incidente nunca teriam sido identificados”, disse o porta-voz Brad Williams.
O Sullivan atualmente trabalha como diretor de segurança da informação na empresa de segurança cibernética Cloudflare.
O presidente-executivo do Uber, Dara Khosrowshahi, revelou a violação de dados em 2017. A empresa acabou pagando US $ 148 milhões para resolver ações judiciais em todos os 50 estados dos EUA e em Washington DC.
Análise
Por Joe Tidy, Cyber Reporter
Quando uma violação é uma violação?
Esta pode ser a principal questão que o tribunal enfrenta neste caso, que será observado de perto por hackers e especialistas em segurança em todo o mundo.
Sullivan diz que não fez nada de errado e estava simplesmente recompensando os hackers com uma “recompensa por bug” por descobrirem uma falha de segurança no sistema do Uber.
Muitas grandes empresas têm esquemas de recompensa por bugs abertos que convidam os hackers – sob condições estritas – a testar seus sistemas de computador quanto a falhas.
Se encontrarem um, serão pagos e a empresa poderá consertar sem precisar alertar as autoridades.
Mas esses hackers não abordaram o Uber como parte de um esquema. Eles invadiram os sistemas anonimamente, roubaram dados e pediram resgate à empresa.
Efetivamente, o Sr. Sullivan está sendo acusado de transformar um hack sério em uma recompensa de bug de rotina, o que, portanto, não valia a pena notificar as autoridades ou sua empresa.
O fato de os próprios hackers já terem se declarado culpados do ataque cibernético pode não ajudar no caso de Sullivan.