Eski Uber güvenlik şefi Joe Sullivan, federal mahkemede bir jüri tarafından müşteri ve sürücü kayıtlarının ihlalini hükümet düzenleyicilerine ifşa etmediği suçlamasıyla Çarşamba günü suçlu bulundu.
2016’da Federal Ticaret Komisyonu, Uber’i çevrimiçi sistemlerinde daha önceki bir ihlal nedeniyle soruştururken, Bay Sullivan, 57 milyondan fazla sürücü ve sürücünün Uber hesaplarını etkileyen yeni bir ihlal olduğunu öğrendi.
Jüri, Bay Sullivan’ı FTC’nin soruşturmasını engellemekten ve bir kez yanlış suçlamadan ya da yetkililerden bir ağır suçu gizlemekten suçlu buldu.
Bir şirket yöneticisinin bir bilgisayar korsanlığı nedeniyle ilk kez cezai kovuşturmaya maruz kaldığına inanılan dava, güvenlik uzmanlarının veri ihlallerini ele alma şeklini değiştirebilir.
“Sorumlulukların dağıtılma şekli bundan etkilenecek. Belgelenenler bundan etkilenecek. Hata ödül programlarının tasarlanma şekli bundan etkilenecek, ”diyor Robert Strauss Uluslararası Güvenlik ve Hukuk Merkezi’nde ikamet eden bir akademisyen ve Texas Üniversitesi’nde Austin Hukuk Fakültesi’nde öğretim görevlisi olan Chinmayi Sharma.
Bay Sullivan’ın davası Cuma günü sona erdi ve altı erkek ve altı kadından oluşan jürinin bir karara varması 19 saatten fazla sürdü.
Bay Sullivan’ın avukatı David Angeli, “Jürinin kararına açıkça katılmasak da, onların bu davadaki kararlılığını ve çabasını takdir ediyoruz” dedi. “Bay. Sullivan’ın – bu olayda ve seçkin kariyeri boyunca – tek odak noktası, insanların internetteki kişisel verilerinin güvenliğini sağlamak olmuştur.”
ABD’li bir avukat yardımcısı olan Andrew Dawson, karar hakkında yorum yapmaktan kaçındı. Uber, yorum taleplerine hemen yanıt vermedi.
Bay Sullivan, Uber’in çevrimiçi sistemlerinde 2014 yılında meydana gelen bir ihlali araştırdığı için FTC tarafından görevden alındı. İfadeden günler sonra, sistemlerinde başka bir güvenlik açığı bulduğunu iddia eden bir bilgisayar korsanından bir e-posta aldı.
Mahkeme ifadesine ve belgelere göre Bay Sullivan, hacker ve bir suç ortağının yaklaşık 600.000 Uber sürücüsünün kişisel verilerini ve 57 milyon sürücü ve sürücüyle ilişkili ek kişisel bilgileri indirdiğini öğrendi. Bilgisayar korsanları, Uber’e en az 100.000 $ tıslaması için baskı yaptı.
Bay Sullivan’ın ekibi onları, güvenlik açıklarını bildirmeleri için “beyaz şapkalı” araştırmacılara ödeme yapmanın bir yolu olan Uber’in hata ödül programına yönlendirdi. Mahkeme ifadesine ve belgelere göre program, ödemeleri 10.000 $ ile sınırladı. Bay Sullivan ve ekibi bilgisayar korsanlarına 100.000 dolar ödedi ve onlara bir gizlilik anlaşması imzalattı.
Bilgisayar korsanlarından biri olan Vasile Mereacre, ifadesinde Uber’den zorla para almaya çalıştığını söyledi.
Uber, 2017’de şirkete yeni bir genel müdür olan Dara Khosrowshahi katılana kadar olayı kamuya açıklamadı veya FTC’yi bilgilendirmedi. İki bilgisayar korsanı, Ekim 2019’da hack olayını kabul etti.
Eyaletler genellikle, bilgisayar korsanlarının kişisel verileri indirmesi ve belirli sayıda kullanıcının etkilenmesi durumunda şirketlerin ihlalleri ifşa etmesini zorunlu kılar. Şirketlerin veya yöneticilerin düzenleyicilere ihlalleri açıklamasını gerektiren bir federal yasa yoktur.
Federal savcılar, Bay Sullivan’ın yeni hack’i ifşa etmenin FTC soruşturmasını genişleteceğini ve itibarına zarar vereceğini bildiğini ve hack’i FTC’den gizlediğini savundu.
ABD’li bir avukat yardımcısı Benjamin Kingsley, Cuma günkü kapanış tartışmaları sırasında “FTC ve diğerlerinin bunu öğrenmesini engellemek için birçok adım attı” dedi. “Bu, kasıtlı olarak bilgi vermemek ve gizlemekti.”
Mahkeme ifadelerine ve belgelere göre Bay Sullivan, 2016 saldırısını Uber’in baş hukuk müşavirine açıklamadı. İhlali başka bir Uber avukatı olan Craig Clark ile tartıştı.
Bay Sullivan gibi, Bay Clark da yeni genel müdür ihlalin ayrıntılarını öğrendikten sonra Bay Khosrowshahi tarafından kovuldu. Bay Clark’a, Bay Sullivan aleyhine ifade vermesi karşılığında federal savcılar tarafından dokunulmazlık verildi.
Bay Clark, Bay Sullivan’ın Uber güvenlik ekibine ihlali gizli tutmaları gerektiğini söylediğini ve Bay Sullivan’ın bilgisayar korsanları tarafından imzalanan ifşa etmeme anlaşmasını yanlış bir şekilde hack’in beyaz şapka araştırması gibi görünmesini sağlamak için değiştirdiğini ifade etti.
Bay Clark’ın ifadesine göre Bay Sullivan, ihlali Uber’in üst düzey yöneticilerinden oluşan “A Ekibi” ile görüşeceğini söyledi. Konuyu A Takımı’nın sadece bir üyesiyle paylaştı: o zamanın CEO’su Travis Kalanick. Mahkeme belgelerine göre, Bay Kalanick bilgisayar korsanlarına yapılacak 100.000 dolarlık ödemeyi onayladı.
Bay Sullivan’ın avukatları, onun yalnızca işini yaptığını savundu.
Bay Sullivan ve diğerlerinin, kullanıcı verilerinin sızdırılmasını önlemek ve bilgisayar korsanlarını tespit etmek için böcek ödül programını ve ifşa etmeme anlaşmasını kullandıklarını ve Bay Sullivan’ın olayı FTC’den gizlemediğini savundular.