Były CSO Ubera unika więzienia po zatuszowaniu naruszenia danych kierowców i pasażerów

8 maja 2023

Po zatuszowaniu incydentu naruszenia danych, który wpłynął na dane osobowe 57 milionów pasażerów i kierowców Ubera, były dyrektor ds. bezpieczeństwa firmy został uznany za winnego. Dlaczego CSO Uber unika więzienia?

Dyrektor ds. bezpieczeństwa – CSO Uber – został uznany za winnego i skazany przez amerykańskiego sędziego federalnego. Jednak kontrowersje budzi wyjątkowo niski wyrok, który otrzymał Joe Sullivan.

Wyciek danych z Ubera

Joe Sullivan, były szef bezpieczeństwa w Facebooku, zajmował to stanowisko (CSO) w firmie Uber w październiku 2016 r. Wówczas doszło do kradzieży danych przez hakerów. Dane te zawierały nazwiska, adresy e-mail i numery telefonów klientów i kierowców.

W trakcie śledztwa okazało się, że bezpośrednią przyczyną włamania nie było złamanie systemów antywirusowych, lecz nieostrożność programistów. Zostawili oni swoje dane logowania w zasobniku Amazon Web Services, używanym przez Ubera, w repozytorium GitHub.

Hakerzy ukradli dane z zasobnika AWS i skontaktowali się z Uberem, żądając okupu.

Joe Sullivan podjął szereg decyzji – nietypowych dla tak dużej organizacji, ale też nietypowych dla CSO (Chief Security Officer) zajmującego się m.in. naruszeniem danych.

Zdecydował się nie informować ofiar wycieku o tym, że ich dane zostały skradzione.

Zdecydował się nie mówić organom regulacyjnym o naruszeniu danych, ani nie informować władz o cyberincydencie.

Sullivan, zamiast powiadomić odpowiednie organy władz, zatuszował włamanie i potajemnie spotkał się z hakerami. Zapłacił im sto tysięcy dolarów za podpisanie umowy o zachowaniu poufności, zgodnie z którą wiadomość o naruszeniu nigdy nie zostanie upubliczniona. Co ciekawe, opłacenie hakerów zostało „podpięte” pod program nagród za błędy. Wszystko po to, aby uniknąć pytań o zniknięcie tak dużych środków z konta firmy.

Uber taksówka na aplikację — Mówisz „taksówka”, myślisz „Uber”, fot. Charles Deluvio on Unsplash

Podczas ostatniej rozprawy prokuratorzy twierdzili, że były zarząd skłonił Sullivana do zatuszowania awarii bezpieczeństwa, próbując zarówno chronić renomę firmy, jak i zabezpieczyć się przed ucieczką kierowców do rywali Ubera.

Prokuratorzy uznali kierowców za „oszukanych”, ponieważ nie zostali oni poinformowani o własnej krzywdzie (zagrożeniu atakami phishingowymi) spowodowanej błędem pracowników Ubera, a mimo to wciąż dzielili się z firmą częścią swoich zarobków.

Były CSO Ubera unika więzienia – kontrowersje wokół wyroku

Sullivan, który sam jest byłym prokuratorem federalnym, a po opuszczeniu Ubera został mianowany CISO (Chief Information Security Officer) Cloudflare, dostał ostrzeżenie, że grozi mu wiele lat więzienia.

Jednak w zeszłym tygodniu poinformowano, że otrzymuje trzyletni wyrok w zawieszeniu, unikając kary więzienia.

„Gdybym jutro miał podobną sprawę, nawet gdyby oskarżonym był papież Franciszek, to trafiłby on do więzienia” – powiedział Sullivanowi sędzia federalny z Północnego Dystryktu Kalifornii, William Orrick.

W kolejnych słowach tłumaczył swój wyrok tym, że sytuacja ta była jednorazowa i nietypowa, jak na 2016 rok. Sędzia jednak zastrzegł, że kolejni przestępcy, którzy zatają wycieki danych w swoich firmach, będą traktowani bardziej rygorystycznie.

„Wyjątkowo niski wyrok dla byłego CSO Ubera z pewnością można postrzegać jako kontrowersyjny. Szczególnie bulwersujące były pobudki, którymi kierował się Joe Sullivan, czyli próba ratowania reputacji i chęć oszukania swoich pracowników, aby ci nie zmienili pracodawcy. Musimy jednak pamiętać o dwóch kwestiach. Po pierwsze w Stanach Zjednoczonych panuje prawo precedensowe i nie funkcjonuje tam RODO. Po drugie skazywanie osób odpowiedzialnych za niezawiadomienie organów władzy o wyciekach danych jest czymś stosunkowo nowym. Przez długi czas opinia publiczna uważała, że firmy, które w jakiś sposób „współpracowały” z cyberprzestępcami, zostały do tego zmuszone, wybrały mniejsze zło i poniosły już odpowiednią karę. Jednak coraz większa świadomość tego, co może się dziać ze skradzionymi danymi, do czego mogą być wykorzystane i to, że wśród nich mogą być także nasze dane, zmieniło pogląd społeczeństwa na temat niedociągnięć w zabezpieczaniu zasobów przez firmy. Pomimo tego, że w przypadku CSO Ubera możemy mówić o wyjątkowo niskim wyroku, to skazanie go na karę w zawieszeniu jest ostrzeżeniem dla całej branży cyberbezpieczeństwa” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.