Ex-chefe de segurança do Uber acusado de supostamente ocultar violação de dados
A denúncia alega que Sullivan e Uber ( UBER ) concordaram em pagar aos hackers US $ 100.000 em troca da assinatura de um acordo de não divulgação sobre o hack
(CNN Business)O ex-chefe de segurança do Uber foi acusado de tentar esconder de investigadores federais uma violação de dados de 2016 que expôs as informações de 57 milhões de usuários a hackers. Uma queixa apresentada na quinta-feira no Tribunal Distrital dos EUA em San Francisco alega que Joe Sullivan, que liderou a equipe de segurança do Uber por mais de dois anos até novembro de 2017, “se envolveu em um esquema para reter e ocultar” tanto o hack quanto a quantidade de dados que foi exposta pela Comissão Federal de Comércio dos EUA. A denúncia alega que Sullivan e Uber ( UBER ) concordaram em pagar aos hackers US $ 100.000 em troca da assinatura de um acordo de não divulgação sobre o hack, que afirma falsamente que eles não acessaram ou armazenaram dados da empresa. O Uber não divulgou a violação ou o pagamento até o final de 2017.”O Vale do Silício não é o Velho Oeste”, disse o procurador-geral David Anderson em um comunicado anunciando as acusações. “Não vamos tolerar pagamentos ilegais de dinheiro silencioso.” Sullivan, um ex-procurador-assistente dos EUA, ingressou no Uber em 2015 vindo do Facebook, onde atuou como diretor de segurança por mais de cinco anos após passagens pelo eBay e PayPal. Atualmente, ele é o diretor de segurança da empresa de infraestrutura de internet CloudFlare. Bradford Williams, porta-voz de Sullivan, disse em um comunicado que as acusações – que incluem obstrução da justiça – não têm mérito.
Lemos o dia todo para que você não precise.”Este caso está centrado em uma investigação de segurança de dados no Uber por uma grande equipe multifuncional composta por alguns dos maiores especialistas em segurança do mundo, incluindo o Sr. Sullivan”, disse Williams no comunicado. “Se não fosse pelos esforços do Sr. Sullivan e de sua equipe, é provável que os indivíduos responsáveis por este incidente nunca teriam sido identificados.”Williams acrescentou: “Desde o início, o Sr. Sullivan e sua equipe colaboraram estreitamente com as equipes jurídicas, de comunicação e outras equipes relevantes do Uber, de acordo com as políticas escritas da empresa. Essas políticas deixaram claro que o departamento jurídico do Uber – e não o Sr. Sullivan ou seu grupo – era responsável por decidir se, e a quem, o assunto deveria ser divulgado. “Um porta-voz do Uber disse que a empresa continua “cooperando totalmente” com a investigação do Departamento de Justiça. A violação de dados motivou o escrutínio de reguladores nos Estados Unidos e também em outros países, incluindo Reino Unido, Austrália, Itália e Filipinas.”Nossa decisão em 2017 de divulgar o incidente não foi apenas a coisa certa a fazer, ela incorpora os princípios pelos quais estamos administrando nossos negócios hoje: transparência, integridade e responsabilidade”, disse o Uber em um comunicado.Em setembro de 2018, o Uber concordou em pagar US $ 148 milhões para encerrar uma investigação sobre a violação de dados de 2016 que a empresa foi acusada de ocultar intencionalmente. O acordo, com procuradores-gerais para todos os 50 estados e Washington, DC, foi o maior acordo multiestadual de violação de dados, de acordo com o procurador-geral de Nova York na época.Como parte do acordo, a Uber concordou em desenvolver e implementar um programa de integridade corporativa para que os funcionários relatem comportamento antiético. Também concordou em adotar notificação de violação de dados modelo e práticas de segurança de dados, bem como contratar um terceiro independente para avaliar suas práticas de segurança de dados.A investigação foi chamada para examinar as alegações de que a empresa de compartilhamento de carona violou as leis de notificação em nível estadual ao reter intencionalmente que a violação ocorreu.O Uber também já havia resolvido um caso com a FTC, que estava investigando alegações de que o Uber enganou os clientes por causa dessa violação.
Sara O’Brien, da CNN, contribuiu para este relatório.
Fonte: https://edition.cnn.com/2020/08/20/tech/uber-security-chief-charged/index.html