Los abogados del exjefe de seguridad de Uber dicen que la compañía lo convirtió en chivo expiatorio

Los fiscales federales dicen que Joe Sullivan obstruyó la justicia cuando en 2016, como jefe de seguridad de Uber, no reveló una violación de los registros de conductores y clientes a los reguladores gubernamentales.

Pero los abogados de Sullivan dicen que de ninguna manera ocultó el incidente y que las afirmaciones de que violó la ley se derivan de los esfuerzos de Uber por cambiar su imagen tras el turbulento reinado del ex director ejecutivo de la compañía, Travis Kalanick.

Los argumentos iniciales comenzaron el miércoles en un tribunal federal de San Francisco en lo que se espera sea un juicio de un mes para Sullivan, quien, además de obstrucción de la justicia, está acusado de encubrir un delito grave. Muchos expertos en seguridad creen que el Sr. Sullivan, exfiscal federal, es el primer ejecutivo de una empresa que enfrenta una posible responsabilidad penal por una violación de datos.

Los funcionarios de seguridad corporativa dicen que el resultado del juicio podría informar cómo manejan los incidentes de seguridad, incluida la forma en que interactúan con los piratas informáticos y cuándo revelan información a los consumidores y los reguladores.

“Existe la amenaza de tiempo en la cárcel. No se puede meter a una empresa en la cárcel. Puedes poner a un ejecutivo en la cárcel. Ahora, eso está sobre la mesa”, dijo Chinmayi Sharma, becaria residente y profesora del Centro Robert Strauss para la Seguridad y el Derecho Internacional de la Universidad de Texas en Austin.

En 2016, Sullivan se enteró de que los piratas informáticos habían obtenido acceso a los datos personales de unos 600 000 conductores de Uber e información personal adicional asociada con 57 millones de pasajeros y conductores, según la denuncia penal en su contra.

El Sr. Sullivan refirió a los piratas informáticos al programa de recompensas por errores de Uber, una forma común de pagar a los investigadores de seguridad de “sombrero blanco” para que identifiquen e informen las vulnerabilidades de seguridad en los servicios en línea populares, dijeron los fiscales el miércoles.

A través del programa, Uber pagó a los piratas informáticos 100.000 dólares y les hizo firmar acuerdos de confidencialidad, dijeron los fiscales federales. La empresa no reveló el incidente al público ni informó al respecto a la Comisión Federal de Comercio.

Los dos jóvenes responsables del incidente luego se declararon culpables de piratería informática. Se espera que uno de ellos testifique en el juicio.

El gobierno acusa al Sr. Sullivan de no revelar la violación a la FTC mientras la agencia investigaba a Uber por un incidente anterior.

En los 50 estados, las empresas están obligadas a revelar las infracciones de seguridad si los piratas informáticos descargan datos de identificación personal y un cierto número de usuarios se ven afectados. No existe una ley federal que requiera que las empresas o los ejecutivos revelen las infracciones a los reguladores.

Uno de los abogados de Sullivan dijo que la responsabilidad de informar el incidente recaía en el equipo legal de Uber. El Sr. Sullivan, argumentó, reveló adecuadamente el incidente al equipo legal y a otros en la empresa.

“No escuchará a un solo testigo tomar esa posición y decir que Joe Sullivan les dijo que mintieran a la FTC o destruyeran documentos u ocultaran lo que había sucedido a la alta gerencia de Uber o al equipo legal de Uber”, dijo David Angeli, uno de los miembros del Sr. Los abogados de Sullivan.

La violación de datos no se hizo pública hasta 2017, cuando Dara Khosrowshahi se convirtió en el nuevo director ejecutivo de Uber y despidió a Sullivan. Uber se negó a comentar para esta historia.

El Sr. Angeli dijo que la noción de que el Sr. Sullivan había ocultado la violación era una “narrativa” creada por el nuevo equipo ejecutivo de Uber y que el Sr. Khosrowshahi había acusado al Sr. Sullivan de no revelar el incidente porque el Sr. Khosrowshahi quería distanciarse. la empresa de su pasado.

“Su mantra era Uber 2.0”, dijo Angeli sobre Khosrowshahi. “Quería pasar la página de lo que estaba haciendo Uber”.

Andrew Dawson, fiscal federal adjunto, dijo que Sullivan había tratado de ocultar el incidente tanto antes como después de que Khosrowshahi se uniera a la empresa. “Este es un caso sobre encubrimiento, sobornos y mentiras”, dijo. “La evidencia mostrará que el Sr. Sullivan pagó por el silencio de los hackers” porque Uber estaba siendo investigado por la FTC

Dawson dijo que Sullivan le había mentido a Khosrowshahi en un correo electrónico que describía el incidente al nuevo director ejecutivo de Uber, lo que implicaba que los piratas informáticos no habían descargado ningún dato de la empresa.

El Sr. Angeli argumentó que el Sr. Sullivan tenía muy pocas comunicaciones con la F.TC. durante la investigación de la agencia a Uber y que los abogados de la empresa habían sido responsables de su respuesta a la investigación.

“El equipo legal de Uber tenía toda la información que necesitaba” para decidir si la empresa debía reportar el incidente de seguridad de 2016 a la agencia, dijo.

Dijo que 30 personas en la empresa sabían sobre la violación y que el Sr. Khosrowshahi había estado al tanto durante casi tres meses antes de que la empresa lo informara. Al culpar al Sr. Sullivan, argumentó, el nuevo equipo de administración de Uber pudo lavarse las manos del incidente.