Les procureurs fédéraux aux États-Unis ont inculpé l’ancien chef de la sécurité d’Uber, Joe Sullivan, pour couvrir un violation massive de données que l’entreprise de covoiturage a souffert en 2016.
Selon le communiqué de presse publié par le ministère américain de la Justice, Sullivan « a pris des mesures délibérées pour dissimuler, détourner et induire en erreur la Federal Trade Commission au sujet de la violation » qui impliquait également de payer une rançon de 100 000 $ aux pirates pour garder le secret sur l’incident.
« Une plainte pénale a été déposée aujourd’hui devant un tribunal fédéral accusant Joseph Sullivan d’entrave à la justice et de mépris d’un crime en relation avec la tentative de dissimulation du piratage d’Uber Technologies en 2016 », indique-t-il.
La violation de données d’Uber 2016 a révélé les noms, les adresses e-mail, les numéros de téléphone de 57 millions de conducteurs et conducteurs Uber et les numéros de permis de conduire d’environ 600000 conducteurs.
La société a révélé ces informations au public près d’un an plus tard en 2017, immédiatement après que Sullivan ait quitté son emploi chez Uber en novembre.
Plus tard, il a été rapporté que deux pirates informatiques, Brandon Charles Glover de Floride et Vasile Mereacre de Toronto, étaient à l’origine de l’incident à qui Sullivan avait approuvé le paiement de l’argent en échange de promesses de supprimer les données des clients qu’ils avaient volés.
Tout cela a commencé lorsque Sullivan, en tant que représentant d’Uber, répondait en 2016 aux demandes de renseignements de la FTC concernant un précédent incident de violation de données en 2014, et pendant le même temps, Brandon et Vasile l’ont contacté au sujet de la nouvelle violation de données.
« Le 14 novembre 2016, environ 10 jours après avoir fourni son témoignage à la FTC, Sullivan a reçu un e-mail d’un pirate informatique l’informant qu’Uber avait de nouveau été violé. »
« L’équipe de Sullivan a été en mesure de confirmer la violation dans les 24 heures suivant la réception de l’e-mail. Plutôt que de signaler la violation de 2016, Sullivan aurait pris des mesures délibérées pour empêcher la connaissance de la violation d’atteindre la FTC. »
Selon des documents judiciaires, le montant de la rançon a été payé par le biais d’un programme de prime aux bogues dans le but de documenter le paiement du chantage comme une prime pour les pirates informatiques qui signalent des problèmes de sécurité mais n’ont pas compromis les données.
« Uber a payé 100 000 $ aux hackers en BitCoin en décembre 2016, malgré le fait que les hackers aient refusé de fournir leurs vrais noms (à ce moment-là) », ont déclaré les procureurs fédéraux. « De plus, Sullivan a cherché à faire signer des accords de non-divulgation par les pirates informatiques. Les accords contenaient une fausse déclaration selon laquelle les pirates n’ont pas pris ou stocké de données. »
«De plus, après que le personnel d’Uber ait pu identifier deux des personnes responsables de la violation, Sullivan a fait en sorte que les pirates informatiques signent de nouvelles copies des accords de non-divulgation en leur vrai nom. Les nouveaux accords ont retenu la fausse condition qu’aucune donnée n’avait La nouvelle direction d’Uber a finalement découvert la vérité et a divulgué la violation publiquement, et à la FTC, en novembre 2017. «
L’année dernière, les deux pirates ont plaidé coupables à plusieurs chefs d’accusation pour piratage et chantage à Uber, LinkedIn et d’autres sociétés américaines.
En 2018, les régulateurs britanniques et néerlandais de la protection des données ont également infligé une amende de 1,1 million de dollars à Uber pour ne pas avoir protégé les informations personnelles de ses clients lors d’une cyberattaque en 2016.
Désormais, si Sullivan était reconnu coupable d’accusations de dissimulation, il pourrait encourir jusqu’à huit ans de prison, ainsi que des amendes potentielles allant jusqu’à 500 000 dollars.
