Uber の元最高セキュリティ責任者である Joe Sullivan は、ハッカーが 5,700 万人以上の個人情報をダウンロードした 2016 年のサイバー攻撃を隠蔽した罪で有罪判決を受けました。 Uber から盗まれた情報には、5,000 万人以上の Uber 乗客と 700 万人のドライバーの名前、メール アドレス、電話番号、さらに 60 万人のドライバーの運転免許証番号が含まれていました。
によって報告されたように ニューヨーク・タイムズ と ワシントンポスト、陪審員はサリバンに2つの罪状で有罪判決を言い渡した.
同社の幹部がハッキングで刑事訴追されたのはこれが初めてとみられている。
彼は 3 回の電信詐欺に直面していましたが、検察官は 8月にそれらの告発を却下した. Sullivan は、Facebook や Cloudflare などの他の企業でセキュリティ エグゼクティブを務めていました。 役職 この場合、彼は以前にサイバー犯罪の起訴に携わっていた同じサンフランシスコの米国弁護士事務所と対戦した.
ハッキング自体は検察によって説明された 元の苦情 (PDF)、それは2014年のUberの侵害をほぼ正確に反映していると指摘し、事件の時点で、FTCはすでに会社を調査していました. 裁判が 9 月に始まったとき、Uber のシステムは Lapsus$ ランサムウェア グループの元メンバーとされる人物に関連するハッキングで再び侵害され、一部の内部システムを一時的にオフラインにすることを余儀なくされました。
2016 年の侵害は、Github をトロールしている 2 人の部外者が、Uber のアマゾン ウェブ サービス (AWS) ストレージへのアクセスを許可する認証情報を発見したときに発生しました。この認証情報は、データベースのバックアップをダウンロードするために使用されました。 その後、ハッカーは Uber に連絡し、盗んだ情報を削除する約束と引き換えに身代金の支払いを交渉し、100,000 ドル相当のビットコインで支払い、同社のバグ報奨金プログラムの一部として扱われました。 彼らは最終的に、2019 年に会社をハッキングした罪を認めました。
Uber の新しい CEO は、最高セキュリティ責任者を「信用できなかった」と証言しました。
として タイムズ 同社の幹部がハッキングで刑事訴追されたのはこれが初めてだと考えられている。 Sullivan 氏の信念は、ハッカーにひそかに身代金を支払っている企業が同様の事件にどのように対応するかを変える可能性があります。 検察官は、サリバンがハッキングと支払いの詳細を当時の Uber の CEO であるトラビス・カラニック、および同社の主席プライバシー弁護士と共有したという証拠を示しました。 彼らはまた、彼がそれを Uber の法務顧問に明らかにしなかったと主張し、後に彼は事件の真の範囲を新しい CEO である Dara Khosrowshahi に明らかにしなかったと述べた.
ブルームバーグ サリバンは 2015 年に Uber に入社して以来、彼が Uber のセキュリティを改善したと考えられていたので、検察は彼の評判を守るために攻撃を明らかにしなかったと主張したと報告しています。はるかに短い文を持っています。
Khosrowshahi の下で、Uber は最終的に Sullivan を解雇しました。 違反を公に認めた、50州すべてに違反をめぐる民事訴訟で1億4800万ドルを支払い、この7月に検察官との訴訟を解決し、サリバンに対する刑事訴訟で「完全な協力」を約束しました. 9 月 16 日、コスロシャヒ 彼に対して証言した、「彼は私の最高セキュリティ責任者であり、彼の判断はもう信用できませんでした。」 2018 年に侵害が明らかになった後、Uber は FTC と契約を結び、プライバシー プログラムを 20 年間維持し、「個人の消費者情報への不正侵入に関して他の政府機関に報告された事件を FTC に報告する」ことを約束しました。
サリバンの弁護士は、彼の行動はユーザーのデータの漏洩を防ぐために取られたものであり、事件で起訴されていないCEOや他の人々に通知したこと、そして彼のチームが最終的にハッカーを特定し、彼らの本当の秘密の下でNDAに署名させたと主張した.情報を漏らさないことを約束する名前。 に与えられた声明では、 タイムズ、 サリバンの弁護士デビッド・アンジェリは次のように述べています。 サリバンの唯一の焦点は、この事件と彼の輝かしいキャリアを通じて、インターネット上の人々の個人データの安全性を確保することでした。」