histats

L’ancien chef de la sécurité d’Uber, Joe Sullivan, reconnu coupable d’avoir dissimulé un piratage aux autorités

L’ancien chef de la sécurité d’Uber, Joe Sullivan, reconnu coupable d’avoir dissimulé un piratage aux autorités

Joe Sullivan, l’ancien responsable de la sécurité d’Uber, a été reconnu coupable par un jury fédéral mercredi d’avoir omis de divulguer une violation des dossiers des clients et des conducteurs aux autorités de réglementation gouvernementales.

En 2016, alors que la Federal Trade Commission enquêtait sur Uber sur une violation antérieure de ses systèmes en ligne, M. Sullivan a appris qu’une nouvelle violation affectait les comptes Uber de plus de 57 millions de passagers et de chauffeurs.

Le jury a déclaré M. Sullivan coupable d’un chef d’entrave à l’enquête de la FTC et d’un chef d’emprisonnement abusif ou de dissimulation d’un crime aux autorités.

L’affaire – considérée comme la première fois qu’un dirigeant d’entreprise fait l’objet de poursuites pour piratage – pourrait changer la façon dont les experts en sécurité traitent les violations de données.

“La façon dont la responsabilité en sera affectée. Ce qui est documenté en sera affecté. La façon dont les programmes de primes aux bogues sont conçus en sera affectée”, a déclaré Chinmayi Sharma, chercheur résident au Robert Strauss Center for International Security and Law. et maître de conférences à l’Université du Texas à la faculté de droit d’Austin.

Le procès de M. Sullivan s’est terminé vendredi, le jury de six hommes et six femmes ayant mis plus de 19 heures pour rendre un verdict.

“Bien que nous ne soyons évidemment pas d’accord avec le verdict du jury, nous apprécions leur dévouement et leurs efforts dans cette affaire”, a déclaré David Angeli, avocat de M. Sullivan. “Le seul objectif de M. Sullivan – dans cet incident et tout au long de sa brillante carrière – a été d’assurer la sécurité des données personnelles des personnes sur Internet.”

See also  Shohei Ohtani garde un œil sur la course MVP alors que les Angels affrontent les Tigers

Stephanie M. Hinds, l’avocate américaine du district nord de la Californie, a déclaré dans un communiqué : « Nous ne tolérerons pas que des informations importantes soient cachées au public par des chefs d’entreprise qui sont plus intéressés à protéger leur réputation et celle de leurs employeurs qu’à protéger utilisateurs. . Lorsqu’une telle conduite viole la loi fédérale, elle sera poursuivie.”

Uber n’a pas immédiatement répondu aux demandes de commentaires.

M. Sullivan a été déposé par la FTC lorsqu’elle a enquêté sur une violation des systèmes en ligne d’Uber en 2014. Dix jours après la déposition, il a reçu un e-mail d’un pirate informatique qui prétendait avoir trouvé une autre faille de sécurité dans ses systèmes.

M. Sullivan a appris que le pirate informatique et un complice avaient téléchargé les informations personnelles d’environ 600 000 chauffeurs Uber et des informations personnelles supplémentaires concernant 57 millions de passagers et chauffeurs, selon des témoignages et des documents judiciaires. Les pirates ont fait pression sur Uber pour qu’il leur paie au moins 100 000 dollars.

L’équipe de M. Sullivan les a référés au programme de primes aux bogues d’Uber, un moyen de payer des chercheurs “chapeau blanc” pour signaler les failles de sécurité. Le programme a plafonné les paiements à 10 000 $, selon des témoignages et des documents judiciaires. M. Sullivan et son équipe ont payé 100 000 $ aux pirates et leur ont fait signer un accord de non-divulgation.

Lors de son témoignage, l’un des pirates, Vasile Mereacre, a déclaré avoir tenté d’extorquer de l’argent à Uber.

Uber n’a pas divulgué publiquement l’incident ni informé la FTC jusqu’à ce qu’un nouveau PDG, Dara Khosrowshahi, rejoigne l’entreprise en 2017. Les deux pirates ont plaidé coupables du piratage en octobre 2019.

See also  L'Angleterre et la star de Barcelone Lucy Bronze appellent à "plus d'éducation"

Les États exigent généralement que les entreprises divulguent les violations si les pirates téléchargent des données personnelles et qu’un certain nombre d’utilisateurs sont affectés. Aucune loi fédérale n’oblige les entreprises ou les dirigeants à divulguer les infractions aux autorités de réglementation.

Les procureurs fédéraux ont allégué que M. Sullivan savait que la divulgation du nouveau piratage élargirait l’enquête de la FTC et nuirait à sa réputation, et qu’il avait caché le piratage à la FTC.

“Il a pris de nombreuses mesures pour empêcher la FTC et d’autres de le découvrir”, a déclaré Benjamin Kingsley, un avocat américain adjoint, lors des plaidoiries vendredi. “Il s’agissait d’une rétention et d’une dissimulation délibérées d’informations.”

M. Sullivan n’a pas révélé le piratage de 2016 à l’avocat général d’Uber, selon des témoignages et des documents judiciaires. Il a discuté de la violation avec un autre avocat d’Uber, Craig Clark.

Comme M. Sullivan, M. Clark a été licencié par M. Khosrowshahi après que le nouveau directeur général eut appris les détails de l’infraction. M. Clark a obtenu l’immunité des procureurs fédéraux en échange de son témoignage contre M. Sullivan.

M. Clark a témoigné que M. Sullivan avait dit à l’équipe de sécurité d’Uber qu’ils devaient garder la violation secrète et que M. Sullivan avait modifié l’accord de non-divulgation signé par les pirates pour faire croire à tort que le piratage était une recherche de chapeau blanc. .

M. Sullivan a déclaré qu’il discuterait de la rupture avec “l’équipe A” de cadres supérieurs d’Uber, selon le témoignage de Clark. Il a partagé l’affaire avec un seul membre de l’A-Team : le PDG de l’époque, Travis Kalanick. M. Kalanick a approuvé le paiement de 100 000 $ aux pirates, selon des documents judiciaires.

See also  Qu'est-ce que Blockchain Gaming et son modèle Play-to-Earn ?

Les avocats de M. Sullivan ont fait valoir qu’il n’avait fait que son travail.

Ils ont fait valoir que M. Sullivan et d’autres avaient utilisé le programme de primes aux bogues et l’accord de non-divulgation pour empêcher la fuite des données des utilisateurs – et pour identifier les pirates – et que M. Sullivan n’avait pas caché l’incident à la FTC.

Après le procès, l’un des jurés, Joel Olson, a déclaré que la vaste gamme de documents présentés par les avocats dans l’affaire, y compris les expurgations de l’accord de non-divulgation, indiquait clairement que M. Sullivan avait dissimulé la violation aux autorités. . “Tout était daté, chronométré et documenté très clairement”, a-t-il déclaré.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *