Uber Exec Presumibilmente nascosto Hack 2016 con $100K BTC ‚Bug Bounty‘ Pay-Off

Un ex CSO è accusato di aver cercato di nascondere il coinvolgimento di Uber in una violazione dei dati del 2016 pagando agli hacker 100 mila dollari in Bitcoin.

Un ex capo della sicurezza di Uber

Joseph Sullivan, un ex capo della sicurezza di Uber, avrebbe cercato di coprire un’intrusione di dati sensibili del 2016, incanalando un pagamento di 100.000 dollari in Bitcoin attraverso un programma di ricompensa per bug.

Gli hacker avevano ottenuto i numeri di patente di circa 600.000 conducenti di Uber e informazioni private per circa 57 milioni di utenti.

Secondo un annuncio del 20 agosto del Dipartimento di Giustizia degli Stati Uniti (DoJ), Sullivan è stato accusato di ostruzione alla giustizia e di aver commesso un reato in relazione all’hackeraggio del 2016.

L’ex CSO è accusato di aver adottato „misure deliberate per nascondere, deviare e fuorviare“ la Federal Trade Commission (FTC) in relazione alla violazione dei dati e al relativo pagamento di 100.000 dollari Bitcoin (BTC) per il silenzio.

Il DoJ lo ha accusato di aver impedito che la conoscenza della violazione venisse riferita alla FTC incanalando i soldi per il silenzio dei Bitcoin attraverso un programma di rimborsi per bug. Normalmente tali programmi sono utilizzati per pagamenti legittimi a favore di hacker „white hat“ che segnalano problemi di sicurezza di un’azienda, non a coloro che ottengono effettivamente dati non autorizzati.

„Non tollereremo pagamenti illegali di denaro per il silenzio“, ha detto il procuratore David Anderson. „La Silicon Valley non è il Far West“.

L’agenzia sostiene anche che Sullivan

L’agenzia sostiene anche che Sullivan ha cercato di nascondere il coinvolgimento della società nella violazione chiedendo agli hacker di firmare accordi di non divulgazione, dichiarando falsamente di non aver ottenuto dati personali da Uber – anche se erano anonimi. Quando un’indagine ha smascherato due dei responsabili della violazione, il DoJ sostiene che Sullivan ha comunque chiesto agli hacker di firmare gli NDA piuttosto che denunciarli.

Bradford Williams, un portavoce di Sullivan, ha detto „non c’è alcun merito alle accuse“ in una dichiarazione al Cointelegraph.

„Fin dall’inizio, il signor Sullivan e il suo team hanno collaborato strettamente con i team legali, di comunicazione e altri team rilevanti di Uber, in conformità con le politiche scritte dell’azienda“, ha dichiarato Williams. „Tali politiche hanno chiarito che l’ufficio legale di Uber – e non il signor Sullivan o il suo gruppo – era responsabile di decidere se, e a chi, la questione dovesse essere rivelata“.

Due degli hacker coinvolti nella violazione di Uber si sono dichiarati colpevoli delle accuse di cospirazione per frode informatica in ottobre e sono ora in attesa della sentenza. Le aziende sono sempre più spesso costrette a trattare direttamente con i cyber criminali – anche se la maggior parte di essi rimane nel rispetto della legge.

I rappresentanti dell’azienda statunitense di viaggi aziendali CWT sono stati in grado di negoziare uno sconto del 50% da parte degli hacker che chiedevano un pagamento di 10 milioni di dollari dopo aver rubato file sensibili dall’azienda a luglio.

Più recentemente, l’Università della California ha condotto una settimana di trattative con un gruppo di ransomware NetWalker dopo la chiusura di sette server dell’istituto. L’università è riuscita a convincere il gruppo a scendere da 3 a 1 milione di dollari utilizzando un linguaggio rispettoso e lusinghiero nelle loro chat.