Új szelek fújdogálnak az IT-biztonságban. Egy San Franciscó-i esküdtszék tegnap bűnösnek találta Joe Sullivant, az Uber egykori biztonsági vezetőjét, mert közreműködött egy 2016-os adatvédelmi incidens eltussolásában, és akadályozta az FTC (Federal Trade Commission) vizsgálatát azzal, hogy bűncselekményre vonatkozó információkat titkolt el. Az ügy tárgyalása, melyen az Uber vezérigazgatójának, Dara Khosrowshahinak is tanúvallomást kellett tennie, egy hónapig tartott.

Sullivant a bíróság akár 8 évre is ítélheti: a vizsgálat akadályozásáért öt év börtönt, a hűtlen kezelés miatt pedig maximum hármat szabhat ki a bíróság. Az esküdtszék állítólag nehezen hozta meg a döntést: a hat férfiból és hat nőből álló testület több mint 19 órát tanácskozott, míg kimondta a CISO bűnösségét, írta a SecurityWeek.

Nem akárkit kaszáltak el

Nem akárki bukott ezzel az ítélettel. Sullivan olyan cégeknél építette CISO-s karrierjét, mint az eBay, a PayPal, az Airbnb vagy a Facebook. 2015 eleje és 2017 vége között közel három évig erősítette az Ubert. Pechjére azonban épp a regnálása alatt volt egy komoly adatbiztonsági incidens a vállalatnál. 2016-ban az Uber sok millió sofőrjének és felhasználójának adatait lopták el egy védtelen AWS-szerverről. A támadásra azonban csak egy évvel később derült fény, amikor Travis Kalanick alapító-vezérigazgató leváltása után a 2017 nyarán kinevezett Dara Khosrowshahi elkezdte kirámolni a csontvázakat  szekrényekből.

Az akkori információk szerint 57 millió felhasználó és sofőr adati kerültek a kiberbűnözők kezébe. Sullivan viszont a Kalanick-éra szellemiségének megfelelően igyekezett okosban megoldani az ügyet. Megállapodott a hekkerekkel, hogy a betörés titokban maradjon és az adatokat megsemmisítsék. 100 ezer dollárt fizetett ki nekik a HackerOne bug bounty programján keresztül. Sullivan állítólag még arra is rá akarta venni a támadókat, hogy írjanak alá titoktartási nyilatkozatot, amelyekben még azt is elismerik, hogy nem is vittek el adatokat.

Amikor az eset kiderült, Dara Khosrowshahi lendületből rúgta ki Sullivant. Ő azonban nem repült messze, pár hónappal később már a Cloudflare-t erősítette.

A vádemelésre három évet kellett várni

Bár a hatóságok azonnal elkezdtek nyomozni, melynek során a hekkereket is megtalálták, Sullivan ellen csak 2020-ban emeltek vádat. Az eljáró ügyész szerint az ilyen ügyekben a hatóságoknak szigorúan kell fellépniük, mert a Szilícium-völgyben a technológiai vállalatoknál elképesztő mennyiségű adat halmozódott fel. Ezért elvárható, hogy figyelmeztessék az ügyfeleiket és az illetékes hatóságokat, ha ezeket az adatokat hekkerek ellopják. Nem szabad eltűrni, hogy a vállalatok vezetői eltitkolják ezeket az incidenseket csak azért, hogy reputációjukat védjék, hangsúlyozta az ügyész.

Sullivannek van még néhány szabad napja: óvadék ellenében szabadlábon védekezhetett, azt pedig a bíróság egy későbbi időpontban hirdeti ki, hogy pontosan hány évre kell börtönbe vonulnia.