Por Hannah Pérez  


Joseph Sullivan, ex CSO de Uber, es acusado por las autoridades de EE UU de ocultar un ataque a la plataforma en 2016. Se expusieron los datos de 600.000 conductores de Uber y la información privada de 57 millones de usuarios.

***

Fiscales de los Estados Unidos están acusando al antiguo director de seguridad de Uber por presuntamente intentar cubrir un hackeo a la aplicación de transporte con un pago en Bitcoin (BTC). Según los informes, Joseph Sullivan, ex CSO de Uber, fue acusado de encubrir un ataque que ocurrió en 2016 y que habría comprometido la información personal de miles de usuarios.

Con los ataques informáticos en aumento, no resulta extraño que una compañía de gran envergadura se vea obligada a tratar con piratas informáticos. Para las autoridades el caso de Uber no se trata únicamente de haber negociado con ciberdelincuentes, sino de deliberadamente encubrir el ataque del conocimiento del público y de las autoridades.

Un comunicado del Departamento de Justicia de EE UU señala que Sullivan enfrenta cargos por “obstrucción a la justicia y comisión indebida de un delito grave en relación con el intento de encubrimiento del hackeo de Uber Technologies Incorporated en 2016”. El ex CSO está acusado de tomar “medidas deliberadas para ocultar, desviar y engañar” a la Comisión Federal de Comercio (FTC) con respecto a la violación de datos y el pago asociado de USD $ 100.000 en Bitcoin.

Puntualmente, el ataque habría provocado que los piratas informáticos obtuvieran los números de licencia de conducir de aproximadamente 600.000 conductores de Uber, así como información privada de aproximadamente 57 millones de usuarios.

CSO de Uber presuntamente ocultó violación masiva de datos

El Departamento de Justicia lo acusó de evitar que se informara a la FTC del conocimiento de la infracción al pagar a los piratas informáticos canalizando la recompensa a través de un “programa de recompensas por errores“. Por lo general, estos programas se utilizan para pagos legítimos a piratas informáticos de “sombrero blanco” (que actúan de buena fe) que informan sobre problemas de seguridad de una empresa, no a aquellos que realmente obtienen datos no autorizados.

El informe indica que en algún momento entre abril de 2015 y noviembre de 2017, cuando Sullivan se desempeñaba como CSO de la compañía, dos piratas informáticos lo contactaron por correo electrónico y exigieron un pago de seis cifras a cambio de silencio. De acuerdo con un reportaje de Forbes, los piratas informáticos descargaron una base de datos de Uber que contenía información de identificación personal (PII) de millones de usuarios.

A pesar de que los atacantes nunca dieron sus nombres verdaderos y ya tenían los datos de la empresa, Uber terminó pagando USD $100.000 en bitcoins en diciembre de 2016. Sullivan incluso se aseguró de que los piratas informáticos firmaran acuerdos de confidencialidad. Los acuerdos contenían una representación falsa de que los piratas informáticos no tomaron ni almacenaron ningún dato.

A raíz de una investigación que desenmascaró a dos individuos como los responsables de la violación, el Departamento de Justicia sostiene que Sullivan actuó obstruyendo la justicia cuando, aún conociendo los hechos, les pidió a los piratas informáticos que firmaran los acuerdos en lugar de denunciarlos. Al respecto, el fiscal federal David Anderson comentó:

No toleraremos los pagos ilegales de dinero en secreto. Silicon Valley no es el Salvaje Oeste. Esperamos una buena ciudadanía corporativa.

Ex CSO niega las acusaciones

Sin embargo, Sullivan negó las acusaciones y los cargos presentados en su contra. Brad Williams, un portavoz del antiguo CSO advirtió que “desde el principio, el Sr. Sullivan y su equipo colaboraron estrechamente con los equipos legales, de comunicaciones y otros equipos relevantes de Uber, de acuerdo con las políticas escritas de la compañía. Esas políticas dejaron en claro que el departamento legal de Uber, y no el Sr. Sullivan o su grupo, era responsable de decidir si se debía revelar el asunto y a quién“.

Si no fuera por los esfuerzos de Sullivan y su equipo, es probable que las personas responsables de este incidente nunca hubieran sido identificadas.

En octubre del año pasado, dos de los piratas informáticos involucrados en la violación de Uber se declararon culpables de los cargos de conspiración de fraude informático en octubre y ahora esperan sentencia. El director ejecutivo de Uber, Dara Khosrowshahi, reveló la violación de datos en 2017. La compañía finalmente pagó USD $148 millones para resolver reclamos legales de los 50 estados de EE. UU. y Washington DC.

Actualmente, Sullivan trabaja como director de seguridad de la información en la empresa de seguridad cibernética Cloudflare.


Lecturas recomendadas


Fuentes: Cointelegraph, Forbes, BBC,

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de freestocks-photos en Pixabay