Em meados de 2016, a Uber sofreu um dos maiores ataques da história da empresa, mas demorou bastante tempo a revelar o mesmo depois de ter obtido conhecimento que este aconteceu.
Agora, Joseph Sullivan, chefe de segurança da Uber, foi oficialmente condenado por ter ocultado o ataque das autoridades. De acordo com o NYT, o tribunal de São Francisco condenou Sullivan por obstruir a investigação da FTC sobre outro incidente que teria acontecido em 2014. Este foi ainda condenado por ter ativamente ocultado o ataque das autoridades.
Em causa encontra-se a forma como o chefe de segurança agiu perante o ataque, que afetou um dos servidores da Amazon da empresa, e onde os atacantes estariam a pedir 100.000 dólares à entidade para evitar a divulgação de dados.
Os hackers terão entrado em contacto com Sullivan, a informar que teriam descoberto uma falha de segurança nos sistemas da empresa, a qual permitia o acesso a informação pessoal de 600,000 condutores, e mais de 57 milhões de passageiros.
Mais tarde foi conhecido que os atacantes terão encontrado uma chave digital da Uber, usada para aceder ao sistema, e onde se encontrava então os dados dos clientes da empresa sem qualquer encriptação.
Sullivan recomendou os hackers a irem pelo programa de bug bounty da empresa, mas este apenas possui o pagamento máximo de 10.000 dólares, valor abaixo do que os atacantes pretendiam. Face a isto, estes ameaçaram a empresa que iriam revelar a falha e os dados caso o pagamento não fosse realizado.
O chefe de segurança usou os fundos da empresa para pagar os 100.000 dólares em Bitcoin, parecendo como se fosse do programa de bug bounty, tendo também forçado os atacantes a assinarem um acordo para não revelarem o mesmo.
O júri terá visto este acordo como uma forma de se ocultar as atividades, que estará agora na frente da acusação. Além disso, ficou ainda estabelecido que o pagamento não deveria ter sido feito como forma de bug bounty, uma vez que estes programas são direcionados para investigadores de segurança que pretendem realmente ajudar as empresas – e não foi o que aconteceu neste caso.
Além disso, as autoridades deveriam também ter sido informadas sobre o ataque, algo que não aconteceu na altura. Sullivan enfrenta agora até cinco anos de prisão, e mais três por ter ocultado o caso.
Nenhum comentário
Seja o primeiro!