L’ex capo della sicurezza di Uber è stato ritenuto colpevole di aver nascosto una violazione dei dati

2 anni ago Stefano Landini

Una giuria di San Francisco ha ritenuto l’ex capo della sicurezza di Uber, Joe Sullivan, colpevole di ostruzione criminale per non aver segnalato alle autorità un incidente di sicurezza informatica del 2016.

Sullivan, che è stato licenziato da Uber nel 2017, è stato dichiarato colpevole di ostruzione alla giustizia e occultamento deliberato di reati, ha confermato mercoledì un portavoce del dipartimento di giustizia degli Stati Uniti.

“Sullivan ha lavorato in modo affermativo per nascondere la violazione dei dati alla Federal Trade Commission (FTC) e ha adottato misure per impedire che gli hacker venissero catturati”, ha affermato Stephanie Hinds, procuratore statunitense per il distretto settentrionale della California.

Il caso è stato considerato un precedente importante per quanto riguarda la colpevolezza dei singoli membri del personale e dei dirigenti della sicurezza durante la gestione di incidenti di sicurezza informatica, una preoccupazione che è cresciuta solo in un momento in cui le segnalazioni di attacchi ransomware sono aumentate e i premi assicurativi per la sicurezza informatica sono aumentati.

Il caso riguarda una violazione dei sistemi di Uber che ha interessato i dati di 57 milioni di passeggeri e conducenti.

La violazione è avvenuta nel 2016, ma Uber l’ha rivelata pubblicamente solo un anno dopo. La divulgazione al pubblico delle violazioni della sicurezza è richiesta dalla legge in molti stati degli Stati Uniti, con la maggior parte dei regolamenti che impongono che la notifica venga effettuata “nel tempo più opportuno possibile e senza ritardi irragionevoli”.

Le rivelazioni di Uber hanno acceso diverse indagini federali e statali. Nel settembre 2018, Uber ha pagato 148 milioni di dollari (130 milioni di sterline) per risolvere i reclami di tutti i 50 stati degli Stati Uniti e di Washington DC secondo cui era troppo lento rivelare l’hacking. I due hacker coinvolti nell’anno si sono dichiarati colpevoli di aver violato Uber e poi estorto il programma di ricerca sulla sicurezza “bug bounty” di Uber l’anno successivo.

Il dipartimento di giustizia ha intentato una denuncia penale contro Sullivan nel 2020. All’epoca, i pubblici ministeri hanno affermato che aveva disposto di pagare agli hacker $ 100.000 (£ 87.964) in bitcoin e gli avevano fatto firmare accordi di riservatezza che affermavano falsamente di non aver rubato dati.

Sullivan è stato anche accusato di aver nascosto informazioni ai funzionari di Uber che avrebbero potuto rivelare la violazione all’FTC, che stava valutando la sicurezza dei dati della società con sede a San Francisco a seguito di una violazione del 2014.

A luglio, Uber ha accettato la responsabilità di aver coperto la violazione e ha accettato di collaborare con l’accusa di Sullivan per il suo presunto ruolo nell’occultamento dell’hacking, come parte di un accordo con i pubblici ministeri statunitensi per evitare accuse penali.

L’avvocato di Sullivan, David Angeli, e la FTC non hanno risposto immediatamente a una richiesta di commento.