Ejecutivo de Uber supuestamente encubrió un hackeo de 2016 con una recompensa de USD 100,000 en BTC
Joseph Sullivan, un antiguo Jefe de Seguridad de Uber, supuestamente trató de encubrir un hackeo de datos sensibles en 2016 mediante un pago de USD 100,000 en Bitcoin a través de un programa de recompensas por errores.
Los hackers habían obtenido los números de licencia de conducir de aproximadamente 600,000 conductores de Uber, así como información privada de aproximadamente 57 millones de usuarios.
Según un anuncio del 20 de agosto del Departamento de Justicia de los Estados Unidos, Sullivan ha sido acusado de obstrucción de la justicia y de un delito grave en relación con el hackeo de 2016. El ex CSO está acusado de tomar “medidas deliberadas para ocultar, desviar y engañar” a la Comisión Federal de Comercio (FTC) en relación con la violación de datos y el pago asociado de USD 100,000 de Bitcoin (BTC).
El Departamento de Justicia le acusó de impedir que se informara a la FTC de la violación de datos mediante Bitcoin por su silencio a través de un programa de recompensas por errores. Normalmente estos programas se utilizan para pagos legítimos a hackers de “sombrero blanco” que informan sobre los problemas de seguridad de una empresa, no a los que realmente obtienen datos no autorizados.
“No vamos a tolerar pagos ilegales de dinero por silencio”, dijo el fiscal David Anderson. “Silicon Valley no es el Salvaje Oeste”.
La agencia también alega que Sullivan trató de ocultar la participación de la empresa en la infracción pidiéndoles a los hackers que firmaran acuerdos de no divulgación declarando falsamente que no habían obtenido ningún dato personal de Uber, incluso mientras eran anónimos. Cuando una investigación desenmascaró a dos de los individuos responsables de la violación, el Departamento de Justicia alega que Sullivan aún pidió a los hackers que firmaran acuerdos de no divulgación en lugar de denunciarlos.
Bradford Williams, un portavoz de Sullivan, dijo “no hay mérito para los cargos” en una declaración a Cointelegraph.
“Desde el principio, el Sr. Sullivan y su equipo colaboraron estrechamente con los equipos jurídicos, de comunicaciones y otros equipos pertinentes de Uber, de conformidad con las políticas escritas de la empresa”, declaró Williams. “Esas políticas dejaron claro que el departamento legal de Uber, y no el Sr. Sullivan o su grupo, era el responsable de decidir si el asunto debía ser revelado y a quién“.
Dos de los hackers involucrados en la violación de Uber se declararon culpables de los cargos de conspiración de fraude informático en octubre y ahora están a la espera de sus sentencias.
Las empresas se ven cada vez más obligadas a tratar directamente con los ciberdelincuentes, aunque la mayoría de ellas se mantienen dentro de la ley mientras lo hacen. Los representantes de la empresa de viajes corporativos CWT, con sede en Estados Unidos, pudieron negociar un descuento del 50% a los hackers que exigían un pago de USD 10 millones después de haber robado archivos confidenciales de la empresa en julio.
Recientemente, la Universidad de California llevó a cabo una negociación de una semana de duración con un grupo de ransomware de NetWalker después de que este cerrara siete de los servidores de la institución. La universidad pudo convencer al grupo de que bajara de 3 a 1 millón de dólares usando un lenguaje respetuoso y halagador en sus charlas.
Sigue leyendo: