Uber CSO Sullivan schuldig aan verbergen van datalek

Joe Sullivan, voormalig Chief Security Officer (CSO) bij Uber, is veroordeeld voor het verbergen van de diefstal van persoonlijke gegevens van Uber-chauffeurs en -klanten. De diefstal vond in 2016 plaats.

De datadiefstal is in november 2017 bekend gemaakt door Uber CEO Dara Khosrowshahi. Aanvallers braken in op de infrastructuur van Uber en maakten gegevens van 57 miljoen klanten en chauffeurs buit. In reactie hierop ontsloeg Uber Sullivan, evenals legal director of security & law enforcement Craig Clark.

Reputatieschade

Sullivan was volgens de rechtbank al in november 2016 op de hoogte van het lek. Dit was zo'n tien dagen nadat hij tegenover de Amerikaanse Federal Trade Commission getuigde over een andere cyberaanval op Uber die in 2014 plaatsvond. Sullivan zou reputatieschade voor Uber hebben gevreesd en het datalek daarom hebben verborgen.

De CSO zou losgeld hebben betaald aan cybercriminelen die de infrastructuur van Uber hadden besmet met ransomware. Uber betaalde naar verluid in december tweemaal 50.000 dollar aan de aanvallers. Deze losgeldbetalingen vermomde Sullivan volgens de rechtbank als een bug bounty-betaling.

Ook Travis Kalanick was mogelijk op de hoogte
Opvallend is ook dat bewijs in de rechtszaak erop wijst dat toenmalig CEO Travis Kalanick is geïnformeerd over het lek kort nadat Sullivan hiervan op de hoogte was. Beide topmannen zouden een strategie hebben besproken voor het omgaan met het datalek. Kalanick is vooralsnog niet aangeklaagd voor zijn rol bij het datalek.