ABD federal mahkemesi jürisi eski Uber Baş Güvenlik Görevlisini buldu Joseph Sullivan 2016 yılında müşteri ve sürücü kayıtlarının ihlalini düzenleyicilere açıklamamaktan ve olayı örtbas etmeye çalışmaktan suçlu bulundu.
Sullivan iki suçtan mahkûm edildi: Biri olayı bildirmeyerek adaleti engellemekten, diğeri ise görevi kötüye kullanmaktan. Engelleme suçundan en fazla beş yıl, ikincisi için en fazla üç yıl hapis cezasıyla karşı karşıya.
ABD Avukatı Stephanie M. Hinds bir basın açıklamasında, “Kaliforniya’nın Kuzey Bölgesi’ndeki teknoloji şirketleri, kullanıcılardan çok miktarda veri toplar ve depolar,” dedi.
“Bu şirketlerin bu verileri korumasını ve bu tür veriler bilgisayar korsanları tarafından çalındığında müşterileri ve ilgili makamları uyarmalarını bekliyoruz. Sullivan, veri ihlalini Federal Ticaret Komisyonu’ndan gizlemek için olumlu bir şekilde çalıştı ve bilgisayar korsanlarının yakalanmasını önlemek için adımlar attı.”
Uber’in 2016 hack’i, iki bilgisayar korsanının şirketin veritabanı yedeklerine yetkisiz erişim kazanmasının bir sonucu olarak meydana geldi ve araç çağırma firmasının, çalınan bilgileri silmek karşılığında Aralık 2016’da gizlice 100.000 $ fidye ödemesine neden oldu.
Uber ayrıca gaspçılara, hırsızlığı bir hata ödülü ödülü olarak devretmek amacıyla bir ifşa etmeme anlaşması imzalattı. Yedekler, 50 milyon Uber sürücüsüne ve 7 milyon sürücüye ait verileri içeriyordu.
Olayları daha da karmaşık hale getiren olay, ABD Adalet Bakanlığı ve Federal Ticaret Komisyonu’nun (FTC) şirketi 13 Mayıs 2014’te gerçekleşen başka bir veri ihlali için incelemeye başladığı sırada meydana geldi.
Şubat 2015’te Uber, şifreleme anahtarlarından birinin olası bir şekilde ele geçirilmesinin ardından veritabanlarından birine uygunsuz şekilde erişildiğini ve bunun sonucunda yaklaşık 50.000 sürücünün adlarının ve lisans numaralarının açığa çıktığını açıkladı. Olay, 14 Eylül 2016’da keşfedildi.
FTC, 2018’de, “Tüketicileri gizlilik ve güvenlik uygulamaları hakkında yanılttıktan sonra, Uber, Komisyon’a, 2016’da başka bir veri ihlaline maruz kaldığını ve Komisyon şirketin 2014’teki çarpıcı şekilde benzer ihlalini araştırırken bilgilendirilmemesiyle suistimalini artırdı.”
DoJ, Sullivan’ın Uber’in FTC’ye 2014 ihlaliyle ilgili yanıtını şekillendirmede çok önemli bir rol oynadığını ve davalının 4 Kasım 2016’da şirketin kullanıcı verilerini güvence altına almak için attığını iddia ettiği adımların sayısı hakkında yeminli ifade verdiğini söyledi.
Ancak Uber’in tekrar ele geçirildiğini öğrendikten sonra, FTC ifadesinden sadece on gün sonra, ajans konuyu yetkililere açıklamayı seçmek yerine “Sullivan, ihlalle ilgili herhangi bir bilginin FTC’ye ulaşmasını önlemek için bir plan yürüttü” dedi ve onun kullanıcıları.
Federal savcılar ayrıca Sullivan’ı Uber’in CEO’su Dara Khosrowshahi’ye ve şirketin 2016 olayını araştıran dış avukatlarına yalan söylemekle suçladılar ve “ihlal hakkındaki gerçeğin” nihayet Kasım 2017’de gün yüzüne çıktığını belirttiler.
Dahası, Haziran 2017’de şirketten istifa eden Uber’in kurucu ortağı ve ardından CEO’su Travis Kalanick’in Sullivan’ın yetkisiz izinsiz girişleri ele alma stratejisini onayladığı söyleniyor. Kalanick suçlanmadı.
The New York Times ile paylaşılan bir açıklamada, Sullivan’ın hukuk ekibi olay sırasındaki tek odak noktasının ve profesyonel kariyerinin “insanların internetteki kişisel verilerinin güvenliğini” sağlamak olduğunu söyledi.
Üst düzey bir şirket yöneticisinin bir veri ihlali nedeniyle ilk kez cezai suçlamalarla karşı karşıya kalmasına işaret eden gelişme, 2016 olayına karışan iki bilgisayar korsanının, Ekim 2019’da suça itiraz ettikten sonra dolandırıcılık komplo suçlamaları için cezalandırılmayı beklemesiyle ortaya çıkıyor.
“Bilgisayar korsanları tarafından girilen ayrı suç duyuruları, Sullivan’ın Uber’in hack’ini örtbas etmeye yardım ettikten sonra, bilgisayar korsanlarının başka bir kurumsal varlığa – Lynda.com – ek bir izinsiz giriş gerçekleştirebildiğini ve bu verileri de fidye girişiminde bulunduğunu gösteriyor.” DoJ işaret etti.
2014 ve 2016 güvenlik kesintilerinin birbirini yansıtmasına rağmen, Uber geçen ay yanlış nedenlerle, o zamandan beri LAPSUS$ siber suç grubuyla bağlantılı olduğu bir saldırıda sistemleri üçüncü kez ihlal edildiğinde dikkatleri üzerine çekti.
Geçtiğimiz Temmuz ayında Uber, Adalet Bakanlığı ile 148 milyon dolar ödemeye karar verdi ve “bir kurumsal bütünlük programı, belirli veri güvenliği önlemleri ve olay müdahalesi ve veri ihlali bildirim planlarının yanı sıra iki yılda bir yapılan değerlendirmeleri uygulamaya” karar verdi.
FBI San Francisco Sorumlu Özel Temsilcisi Robert K. Tripp, “Bugünün suçlu kararındaki mesaj açık: müşterilerinin verilerini depolayan şirketler, bu verileri korumak ve ihlaller meydana geldiğinde doğru olanı yapmakla yükümlüdür.” dedi.