Menos Fios

Ex-chefe de segurança da Uber condenado por ocultar ataque em 2016

Em meados de 2016, a Uber sofreu um dos maiores ataques da história da empresa, mas demorou bastante tempo a revelar o mesmo após ter obtido conhecimento que este aconteceu.

Agora, Joseph Sullivan, chefe de segurança da Uber, foi oficialmente condenado por ocultar o ataque das autoridades. De acordo com o NYT, o tribunal de São Francisco condenou Sullivan por obstruir a investigação da FTC sobre outro incidente que teria acontecido em 2014. Este foi ainda condenado por ter ativamente ocultado o ataque das autoridades.

Em causa encontra-se a forma como o chefe de segurança agiu perante o ataque, que afetou um dos servidores da Amazon da empresa, e onde os atacantes estariam a pedir 100.000 dólares à entidade para evitar a divulgação de dados.

Os hackers terão entrado em contacto com Sullivan, a informar que teriam descobrido uma falha de segurança nos sistemas da empresa, a qual permitia o acesso à informação pessoal de 600.000 condutores, e mais de 57 milhões de passageiros.

Mais tarde foi conhecido que os atacantes terão encontrado uma chave digital da Uber, usada para aceder ao sistema, e onde se encontrava então os dados dos clientes da empresa sem qualquer encriptação.

Sullivan recomendou os hackers a irem pelo programa de bug bounty da empresa, mas este apenas possui o pagamento máximo de 10.000 dólares, valor abaixo do que os atacantes pretendiam. Face a isto, estes ameaçaram a empresa que iriam revelar a falha e os dados caso o pagamento não fosse realizado.

O chefe de segurança usou os fundos da empresa para pagar os 100.000 dólares em Bitcoin, parecendo como se fosse do programa de bug bounty, tendo também forçado os atacantes a assinarem um acordo para não revelarem o mesmo.

O júri terá visto este acordo como uma forma de se ocultar as atividades, que estará agora na frente da acusação. Além disso, ficou ainda estabelecido que o pagamento não deveria ter sido feito como forma de bug bounty, uma vez que estes programas são direcionados para investigadores de segurança que pretendem realmente ajudar as empresas – e não foi o que aconteceu neste caso.

Além disso, as autoridades deveriam também ter sido informadas sobre o ataque, algo que não aconteceu na altura. Sullivan enfrenta agora até cinco anos de prisão, e mais três por ocultar o caso.

Exit mobile version