Các công tố viên liên bang ở Hoa Kỳ đã buộc tội cựu giám đốc an ninh của Uber, Joe Sullivan, để che đậy một vi phạm dữ liệu lớn mà công ty dịch vụ gọi xe phải gánh chịu trong năm 2016.
Theo thông cáo báo chí được phát hành của Bộ Tư pháp Hoa Kỳ, Sullivan đã “thực hiện các bước có chủ ý để che giấu, làm chệch hướng và đánh lừa Ủy ban Thương mại Liên bang về vi phạm” cũng liên quan trả cho tin tặc 100.000 đô la tiền chuộc để giữ bí mật về sự việc.
“Một đơn khiếu nại hình sự đã được đệ trình hôm nay lên tòa án liên bang buộc tội Joseph Sullivan cản trở công lý và phạm trọng tội liên quan đến âm mưu che đậy vụ hack Uber Technologies năm 2016,” nó nói.
Vụ vi phạm dữ liệu năm 2016 của Uber đã làm lộ tên, địa chỉ email, số điện thoại của 57 triệu tài xế và hành khách Uber cũng như số giấy phép lái xe của khoảng 600.000 tài xế.
Công ty tiết lộ thông tin này cho công chúng gần một năm sau vào năm 2017, ngay sau khi Sullivan rời bỏ công việc của mình tại Uber vào tháng 11.
Sau đó, có thông tin cho rằng hai tin tặc Brandon Charles Glover ở Florida và Vasile Mereacre ở Toronto, đứng sau vụ việc mà Sullivan đã chấp thuận trả tiền để đổi lấy lời hứa xóa dữ liệu của khách hàng mà họ đã đánh cắp.
Tất cả điều này bắt đầu khi Sullivan, với tư cách là đại diện cho Uber, vào năm 2016 trả lời các câu hỏi của FTC liên quan đến sự cố vi phạm dữ liệu trước đó vào năm 2014, đồng thời Brandon và Vasile đã liên hệ với anh ta về vụ vi phạm dữ liệu mới.
“Vào ngày 14 tháng 11 năm 2016, khoảng 10 ngày sau khi cung cấp lời khai của mình cho FTC, Sullivan nhận được email từ một hacker thông báo rằng Uber đã bị vi phạm một lần nữa.”
“Nhóm của Sullivan có thể xác nhận vi phạm trong vòng 24 giờ sau khi anh ta nhận được email. Thay vì báo cáo vi phạm năm 2016, Sullivan bị cáo buộc đã thực hiện các bước có chủ ý để ngăn FTC biết về vi phạm.”
Theo tài liệu của tòa án, số tiền chuộc được trả thông qua một chương trình tiền thưởng lỗi nhằm cố gắng ghi lại khoản thanh toán tống tiền dưới dạng tiền thưởng cho những tin tặc mũ trắng, những người chỉ ra các vấn đề bảo mật nhưng không xâm phạm dữ liệu.
“Uber đã trả cho các tin tặc 100.000 đô la bằng BitCoin vào tháng 12 năm 2016, bất chấp việc các tin tặc từ chối cung cấp tên thật của họ (tại thời điểm đó)”, các công tố viên liên bang cho biết. “Ngoài ra, Sullivan đã tìm cách yêu cầu các tin tặc ký các thỏa thuận không tiết lộ. Các thỏa thuận này có nội dung sai lệch rằng các tin tặc đã không lấy hoặc lưu trữ bất kỳ dữ liệu nào.”
“Hơn nữa, sau khi nhân viên của Uber có thể xác định được hai trong số những cá nhân chịu trách nhiệm cho vụ vi phạm, Sullivan đã sắp xếp để các tin tặc ký các bản sao mới của các thỏa thuận không tiết lộ bằng tên thật của họ. Các thỏa thuận mới vẫn giữ nguyên điều kiện giả là không có dữ liệu đã có được. Ban quản lý mới của Uber cuối cùng đã phát hiện ra sự thật và tiết lộ vi phạm một cách công khai, và cho FTC, vào tháng 11 năm 2017. “
Mới năm ngoái, cả hai hacker đều đã nhận tội đối với một số tội danh vì hack và tống tiền Uber, LinkedIn và các tập đoàn khác của Hoa Kỳ.
Năm 2018, các cơ quan quản lý bảo vệ dữ liệu của Anh và Hà Lan cũng phạt Uber 1,1 triệu USD do không bảo vệ được thông tin cá nhân của khách hàng trong cuộc tấn công mạng năm 2016.
Giờ đây, nếu Sullivan bị kết tội che đậy, anh ta có thể phải đối mặt với 8 năm tù giam, cũng như khoản tiền phạt có thể lên tới 500.000 USD.
