Eine Jury in San Francisco hat den ehemaligen Chief Security Officer von Uber, Joe Sullivan, der kriminellen Behinderung für schuldig befunden, weil er es versäumt hatte, einen Cybersicherheitsvorfall im Jahr 2016 den Behörden zu melden.
Sullivan, der 2017 von Uber gefeuert wurde, wurde wegen Behinderung der Justiz und vorsätzlicher Verschleierung von Verbrechen für schuldig befunden, bestätigte ein Sprecher des US-Justizministeriums am Mittwoch.
„Sullivan hat entschieden daran gearbeitet, die Datenschutzverletzung vor der Federal Trade Commission (FTC) zu verbergen, und Maßnahmen ergriffen, um zu verhindern, dass die Hacker gefasst werden“, sagte Stephanie Hinds, US-Anwältin für den nördlichen Bezirk von Kalifornien.
Der Fall wurde als wichtiger Präzedenzfall in Bezug auf die Schuldfähigkeit einzelner Sicherheitsmitarbeiter und Führungskräfte bei der Behandlung von Cybersicherheitsvorfällen angesehen, eine Sorge, die in einer Zeit, in der Berichte über Ransomware-Angriffe zugenommen haben, nur noch gewachsen ist Versicherungsprämien für Cybersicherheit sind aufgestiegen.
Der Fall betrifft einen Verstoß gegen die Systeme von Uber, der die Daten von 57 Millionen Fahrgästen und Fahrern betraf.
Der Verstoß fand 2016 statt, aber Uber gab ihn erst ein Jahr später öffentlich bekannt. Die öffentliche Offenlegung von Sicherheitsverletzungen ist in vielen US-Bundesstaaten gesetzlich vorgeschrieben, wobei die meisten Vorschriften vorschreiben, dass die Benachrichtigung „so schnell wie möglich und ohne unangemessene Verzögerung“ erfolgen muss.
Die Enthüllungen von Uber lösten mehrere Ermittlungen auf Bundes- und Landesebene aus. Im September 2018 zahlte Uber 148 Millionen US-Dollar (130 Millionen Pfund), um Ansprüche aller 50 US-Bundesstaaten und Washington DC zu begleichen, dass es zu langsam sei, das Hacking offenzulegen. Die beiden Hacker des Jahres beteiligt bekannte sich schuldig Uber zu hacken und dann im folgenden Jahr Ubers „Bug Bounty“-Sicherheitsforschungsprogramm zu erpressen.
Das Justizministerium reichte im Jahr 2020 Strafanzeige gegen Sullivan ein. Damals behaupteten Staatsanwälte, er habe arrangiert, den Hackern 100.000 Dollar (87.964 £) in Bitcoin zu zahlen, und sie Geheimhaltungsvereinbarungen unterzeichnen lassen, in denen fälschlicherweise behauptet wurde, sie hätten keine Daten gestohlen.
Sullivan wurde auch beschuldigt, Informationen von Uber-Beamten zurückgehalten zu haben, die den Verstoß der FTC hätten offenlegen können, die die Datensicherheit des in San Francisco ansässigen Unternehmens nach einem Verstoß im Jahr 2014 bewertet hatte.
Im Juli übernahm Uber die Verantwortung für die Vertuschung des Verstoßes und erklärte sich bereit, mit der Staatsanwaltschaft von Sullivan wegen seiner angeblichen Rolle bei der Verschleierung des Hackings zusammenzuarbeiten, als Teil einer Einigung mit US-Staatsanwälten, um strafrechtliche Anklagen zu vermeiden.
Sullivans Anwalt David Angeli und die FTC antworteten nicht sofort auf eine Bitte um Stellungnahme.