Un jurado federal encontró al exjefe de seguridad de Uber, Joe Sullivan, culpable de dos delitos graves después de un juicio de cuatro semanas en San Francisco.
El jurado estuvo de acuerdo con los fiscales estadounidenses que acusaron a Sullivan, de 53 años, en una denuncia penal de «un esquema para retener y ocultar» una violación de datos de 2016 que afectó a decenas de millones de titulares de cuentas de Uber.
El juicio fue un hito, probablemente marcando la primera vez que un jefe de seguridad enfrenta cargos criminales por una respuesta a un incidente.
«Este es un caso sobre encubrimiento, soborno y mentiras», dijo Andrew Dawson, fiscal federal adjunto en el Distrito Norte de California, al tribunal en su alegato inicial, informó The Wall Street Journal.
Sullivan enfrenta hasta ocho años de prisión y $500,000 en multas, un cambio de fortuna para un hombre que ocupó altos cargos de seguridad cibernética en Facebook y Cloudflare y anteriormente en su carrera fue un fiscal pionero en delitos cibernéticos en el Departamento de Justicia. El jurado lo encontró culpable de obstrucción y malinterpretación de un delito grave, que se refiere a saber que algo es un delito grave y encubrirlo.
«No creo que haya prisa por elegir una fecha para la sentencia», dijo el juez William Orrick poco antes de levantar la sesión de la corte.
El incidente de seguridad de 2016 que afectó a 57 millones de titulares de cuentas y los números de licencia de conducir de 600 000 conductores no salió a la luz pública hasta noviembre de 2017, después de que el nuevo equipo de administración de Uber se enterara de los detalles y su junta directiva investigara la respuesta. Dara Khosrowshahi, quien asumió el cargo de director ejecutivo del cofundador Travis Kalanick, ordenó que se notifique a todos los usuarios afectados y a la Comisión Federal de Comercio.
El delito de Sullivan no fue que se produjera una filtración bajo su supervisión, sino que obstruyó una investigación federal en curso de la Comisión Federal de Comercio sobre las prácticas de seguridad de datos de Uber a raíz de una filtración de datos anterior en 2014. Una acusación formal sustituida agregó tres cargos de fraude electrónico. relacionado con el pago del hacker, realizado bajo la apariencia de una recompensa de recompensa por errores. Poco antes de que comenzara el juicio, los fiscales acordaron desestimar los cargos de fraude electrónico, que conllevaban la posibilidad de décadas de prisión en caso de un veredicto de culpabilidad.
Khosrowshahi despidió a Sullivan en noviembre de 2017, junto con el abogado interno Craig Clark, quien supervisó un pago de $100,000 en bitcoins realizado a dos piratas informáticos que robaron datos de cuentas de Uber. Clark testificó contra Sullivan bajo un acuerdo de inmunidad. Los piratas informáticos, dos hombres de unos 20 años, se declararon culpables en 2019 de hacer demandas de extorsión a empresas como Uber y LinkedIn. Accedieron a los datos de Uber mediante el uso de credenciales de GitHub robadas para acceder a un repositorio privado de códigos de Uber que contenía una clave de acceso a la cuenta de Amazon Web Services de la empresa.
La filtración de 2016 ocurrió pocos días después de que Sullivan testificara ante la FTC que Uber, bajo su supervisión, solucionó los problemas revelados por la filtración de 2014, que también involucró una clave de acceso de AWS publicada en el repositorio GitHub de la empresa. En ese momento, el depósito estaba abierto al público. «Puedes verlo dándose cuenta, ‘Oh, no, este es exactamente el tipo de cosa que le dijimos a la FTC que no volvería a suceder'», dijo el fiscal federal adjunto Ben Kingsley al jurado en los argumentos finales, informó Courthouse News Service .
A principios de este año, Uber admitió su culpabilidad como parte de un acuerdo de no enjuiciamiento. El acuerdo establece que Sullivan tomó medidas para mantener el conocimiento de la violación de datos estrictamente controlado y que a los abogados de Uber que se comunicaron con la FTC no se les informó sobre la violación, incluso cuando representaron que las prácticas de seguridad de la compañía habían mejorado mucho desde 2014.
En 2018, la compañía llegó a un acuerdo por $148 millones en una investigación dirigida por los fiscales generales de los estados sobre la violación de datos. Ese mismo año, firmó un acuerdo de consentimiento de dos décadas con la FTC que le prohibía tergiversar las garantías de los datos del consumidor y acusaba a la empresa de mantener un programa de privacidad. Un funcionario de la compañía le dijo al Congreso en 2018 que Uber había dejado de usar GitHub como repositorio de código propietario e instituyó restricciones en el acceso a sus cuentas de almacenamiento en la nube, incluida la autenticación multifactor y la lista blanca de direcciones IP.
Caso vigilado de cerca
El caso ha sido seguido de cerca por la comunidad de seguridad de la información, en parte debido a la estatura y reputación de Sullivan por promover las prácticas de seguridad cibernética.
Antes de Uber, Sullivan se desempeñó como fiscal federal y luego como CSO de Facebook durante cinco años. Fue comisionado de la Comisión para Mejorar la Seguridad Cibernética Nacional del presidente Barack Obama, que recomendó formas de mejorar la seguridad cibernética de la nación. Después de Uber, se desempeñó como CSO de Cloudflare, aunque renunció en julio para prepararse para el juicio.
El caso contra Sullivan fue especialmente notable, según Mark Rasch, abogado del bufete de abogados Kohrman Jackson & Krantz, porque fue «la primera instancia en la que un CSO o CISO ha sido personalmente responsable, además del despido, por una respuesta a la filtración de datos, y la primera vez que se buscan sanciones penales de cualquier tipo contra la víctima corporativa de una filtración de datos por… manejar mal la filtración de datos en sí».
Una pregunta planteada por las OSC a raíz de los cargos presentados contra Sullivan fue si ahora podrían ser considerados personalmente responsables por la forma en que manejan los incidentes de seguridad, en lugar de simplemente ser despedidos si las cosas salen mal, como es habitual.
Muchos en la comunidad de ciberseguridad han expresado su apoyo a Sullivan, y Jamil Farshchi , CISO de Equifax, advirtió en una publicación de LinkedIn contra el «tribalismo». Dijo que Uber había ocultado de manera clara e inapropiada una violación importante y que Sullivan estaba involucrado en el ocultamiento.
«Lo que hizo Sullivan estuvo mal. Realmente mal», escribió Farshchi. «Es muy posible que haya habido otros involucrados. Y si es así, ellos también deberían rendir cuentas».
¿Quién es responsable de los informes de violación de datos?
Antes de que comenzara el juicio, un portavoz de Sullivan dijo que todas las acciones tomadas por Sullivan y su equipo de respuesta a violaciones involucraron una estrecha colaboración «con los equipos legales, de comunicaciones y otros equipos relevantes de Uber, de acuerdo con las políticas escritas de la compañía».
Nadie más involucrado en la respuesta de Uber ha sido acusado en relación con la violación de datos o el presunto encubrimiento.
La defensa de Sullivan se basó en parte en su afirmación de que el equipo legal de la empresa tiene la responsabilidad de decidir cuándo hacer una notificación de incumplimiento.
El 20 de septiembre, el abogado Randall Lee testificó que Sullivan a fines de septiembre de 2017 le dijo que la divulgación a la FTC era una decisión legal fuera de su competencia. Lee, exsocio del bufete de abogados Wilmer Cutler Pickering Hale and Dorr, formó parte de un equipo contratado por la junta directiva de Uber para revisar la respuesta de la empresa a la filtración de 2016.
«Si no pudimos contener, es trabajo legal decidir», dijo Lee que Sullivan le dijo, según sus notas, informó Courthouse News Service .
Otros CISO han cuestionado ese enfoque. «Llámame anticuado si quieres, pero el rol legal generalmente es brindar asesoramiento a los ejecutivos que toman la decisión», dijo Ian Thornton-Trump, CISO de Cyjax, a través de Twitter . «Tratar de atribuir esta decisión a su equipo legal suena como un movimiento para evitar cualquier tipo de responsabilidad por la decisión ejecutiva tomada».