Joe Sullivan, quien fuera máximo responsable de seguridad de Uber, fue declarado culpable el miércoles en un tribunal federal de San Francisco por ocultar una importante filtración de datos de registros de clientes y conductores.
El jurado no acogió el testimonio de Sullivan, en el sentido que la gerencia general Uber conocía el hackeo y que debió haberlo reportado en su momento.
El abogado de Sullivan comentó: “Aunque no estamos de acuerdo con las conclusiones del jurado, respetamos su devoción y esfuerzo. El principal énfasis del señor Sullivan en este incidente y a lo largo de su carrera ha sido la protección de los datos personales de la gente en línea”.
El CEO de Uber, Dara Khosrowshahi, reveló en noviembre de 2017 que hackers habían obtenido la información personal de 57 millones de usuarios y conductores en todo el mundo, incluyendo 600.000 números de licencia de conducir de Estados Unidos. Uber admitió haber disimulado la brecha de ciberseguridad en julio para evitar su procesamiento.
Sullivan fue acusado de obstrucción a la justicia y de encubrimiento en 2020. Posteriormente, se agregaron cargos por fraude electrónico, pero se desestimaron antes del juicio. Sullivan fue condenado por ambos cargos el miércoles.
Sullivan fue despedido de Uber en 2017 y se convirtió en jefe de seguridad de Cloudflare, cargo del que dimitió para prepararse para el juicio.
Los fiscales federales dicen que Sullivan descubrió la brecha en noviembre de 2016, 10 días después de testificar sobre otra brecha de Uber ocurrida en 2014. Según trascendió, Sullivan temía que otra filtración de datos en Uber fuera devastadora para la empresa, por lo que trató de encubrir el robo fingiendo que un pago a los hackers formaba parte de un programa de recompensas por errores. A los investigadores de seguridad se les paga por descubrir e informar de fallos. Los fiscales dijeron que el programa de Uber no podía recompensar a un hacker que robaba datos de usuarios y conductores de las redes controladas por Uber.
Sullivan dio instrucciones a sus subordinados para que “controlaran estrictamente” la información de los hackers. Sólo Sullivan y el ex director general de Uber, Travis Kalanick, conocían toda la magnitud del incidente, y ambos habrían estado involucrados en la decisión de clasificarlo como un programa de recompensas por errores de programación (bugs). Kalanick no ha sido acusado.
Uber habría convertido entonces a Sullivan en el chivo expiatorio para preservar la reputación de su nuevo consejero delegado, Dara Khosrowshahi, que prometió cambiar la imagen de la empresa. En tal sentido, el abogado de Sullivan dijo que alertó a Khosrowshahi sobre la infracción casi inmediatamente.
Brandon Charles Glover y Vasile Mereacre, los ciberdelincuentes que perpetraron la intrusión, se declararon culpables en 2019. Mereacre dijo en el juicio contra Sullivan el mes pasado que él y su cómplice planeaban chantajear a Uber.
Joel Olson, uno de los miembros del jurado, dijo después del juicio que los materiales de los abogados, incluidas las revisiones del acuerdo de no divulgación, probaban que Sullivan intentó ocultar la violación de datos a las autoridades legales. Bloomberg escribe que Sullivan se enfrenta a hasta 8 años de prisión, aunque es probable que obtenga una sentencia menor.