Nel 2016 Uber subì un attacco hacker e per nascondere tutto, il capo della sicurezza pagò agli hacker 100.000 dollari in Bitcoin.
Questo quanto emerge nella denuncia raccolta dal dipartimento di Giustizia degli Stati Uniti e illustrata dal procuratore degli Stati Uniti David L. Anderson e l’agente speciale dell’FBI Craig D. Fair.
Protagonista della vicenda è Joseph Sullivan che nel 2016 era Chief Security Officer. Uber aveva già sperimentato problemi di sicurezza, ma nel 2016 accadde anche di peggio. Due hacker infatti riuscirono ad impossessarsi di un database con i dati di circa 57 milioni di utenti e autisti di Uber. Tali dati contenevano anche 600.000 identificativi di patente di guida.
Secondo il DOJ Sullivan ha operato per nascondere la vicenda alla Federal Trade Commission.
Uber, l’attacco hacker e il pagamento in Bitcoin
La FTD infatti stava già indagando su precedenti problemi di sicurezza sperimentati da Uber nel 2014. In questa indagine Sullivan era stato chiamato a testimoniare nel 2016. 10 giorni dopo la sua deposizione Uber fu nuovamente attaccata.
Il dipartimento informatico confermò la violazione ma, secondo la ricostruzione degli investigatori, Sullivan operò per non far venire alla luce il caso. Per questo accettò di pagare 100.000 dollari in Bitcoin a due hacker, ai quali sottopose anche un accordo di riservatezza (non-disclosure agreement).
In tale accordo i due dichiaravano non essere venuti in possesso dei dati di Uber. Inoltre, quando il team di sicurezza informatica riuscì ad identificare la vera identità degli hacker, Sullivan avrebbe preteso da loro la firma di un nuovo accordo contenente i loro veri nomi. Anche in questo secondo accordo veniva reiterato il fatto che gli hacker non erano entrati in possesso del database.
Quando il nuovo management, nel 2017, ha scoperto l’intera vicenda, l’ha resa pubblica, consentendo alle autorità di indagare.
Anche una volta che la vicenda fu nota, Sullivan avrebbe comunque tentato di ammorbidirla nelle relazioni preparate per il nuovo CEO. In tali dichiarazioni asseriva che gli hacker erano stati pagati solo dopo aver scoperto la loro identità.
Ad ogni modo, i due hacker sono ora affidati alla giustizia. Già si sono dichiarati colpevoli il 30 ottobre 2019 presso la Corte della California, attendono ora la sentenza.
Sullivan invece dovrà affrontare le accuse di ostruzione alla giustizia ed errata violazione di un crimine e ora dovrà risponderne presso il tribunale, cercando di dimostrare la sua innocenza.
La vicenda getta ombre sulla gestione dei dati degli utenti di Uber. Il cambio di management con la nomina di un nuovo CSO nel 2017 tuttavia sembra rappresentare una decisa svolta.
Le autorità infatti incoraggiano sempre le aziende a collaborare per identificare gli hacker. Mai insabbiare. Ha dichiarato a tal proposito il procuratore David L. Anderson:
“La Silicon Valley non è il Far West. Ci aspettiamo una buona convivenza tra le aziende. Ci aspettiamo una rapida segnalazione di comportamenti criminali. Ci aspettiamo collaborazione con le nostre indagini. Non tollereremo insabbiamenti aziendali. Non tollereremo pagamenti illegali di denaro per il silenzio”.
Il Vice Agente Speciale FBI Craig D. Fair ha concluso con un appello:
“Nascondere informazioni su un reato alle forze dell’ordine è un crimine. Anche se questo caso è un esempio estremo di un tentativo prolungato di sovvertire le forze dell’ordine, speriamo che le aziende si alzino e ne prendano atto. Non aiutate gli hacker criminali a coprire le loro tracce. Non peggiorate il problema per i vostri clienti e non coprite i tentativi criminali di rubare i dati personali delle persone”.
