Jefe de Uber testifica que ‘no podía confiar’ en exjefe de seguridad
Dara Khosrowshahi, director ejecutivo de Uber, dijo en la corte el viernes que había despedido a Joe Sullivan, el exjefe de seguridad de Uber que está siendo juzgado por una violación de seguridad de 2016, porque ya no podía confiar en él.
“Era mi jefe de seguridad y ya no podía confiar en su juicio”, dijo Khosrowshahi sobre Sullivan. “Pensé que la decisión de no revelar” la violación “fue una decisión equivocada”.
El Sr. Khosrowshahi fue un testigo estelar en el juicio del Sr. Sullivan, quien ha sido acusado de obstruir la justicia por no revelar la violación de 2016, que afectó las cuentas de Uber de más de 57 millones de pasajeros y conductores. Los abogados de Sullivan han argumentado que el equipo gerencial de Uber, encabezado por Khosrowshahi, lo atacó injustamente mientras la compañía trabajaba para remodelar su imagen después del reinado despreocupado de su exdirector ejecutivo, Travis Kalanick.
Dijo que despidió al Sr. Sullivan en 2017 porque el Sr. Sullivan lo engañó en un correo electrónico sobre el incidente de 2016. El Sr. Khosrowshahi agregó que Uber luego informó el incidente a los reguladores porque era lo mejor para el interés público.
El resultado del juicio podría cambiar la forma en que los profesionales manejan los incidentes de seguridad, dijeron los expertos. Muchos creen que el Sr. Sullivan es el primer ejecutivo de la empresa en enfrentar un proceso penal por responder a una violación de datos.
El hack se descubrió en 2016, mientras la Comisión Federal de Comercio investigaba una violación de datos anterior en Uber. El Sr. Sullivan recibió un correo electrónico de un pirata informático que afirmaba que había encontrado una importante vulnerabilidad de seguridad en los sistemas en línea de Uber y que podía descargar información de la empresa.
Aproximadamente un día después, Sullivan se enteró de que el pirata informático había descargado una base de datos que contenía los datos personales de unos 600.000 conductores de Uber e información personal adicional asociada con 57 millones de pasajeros y conductores, según documentos y testimonios judiciales.
El Sr. Sullivan y su equipo finalmente refirieron al pirata informático y a un cómplice al programa de recompensas por errores de Uber, una forma común de pagar a los investigadores de seguridad para que identifiquen y reporten las vulnerabilidades de seguridad. A través del programa, Uber pagó a los piratas informáticos $ 100,000 y les hizo firmar acuerdos de confidencialidad.
Uber no reveló públicamente el incidente ni informó a la FTC hasta que el Sr. Khosrowshahi asumió el cargo de director ejecutivo en el otoño de 2017. Los dos piratas finalmente se declararon culpables de piratería.
La mayoría de los estados requieren que las empresas divulguen las infracciones de seguridad si los piratas informáticos descargan datos de identificación personal y un cierto número de usuarios se ven afectados. No existe una ley federal que requiera que las empresas o los ejecutivos revelen las infracciones a los reguladores.
Los fiscales federales acusaron al Sr. Sullivan de ocultar un delito grave por no revelar la infracción a la FTC mientras la empresa ya estaba siendo investigada por la agencia.
“Mucha gente está realmente asustada por lo que significa enjuiciar a Joe Sullivan para los profesionales de la seguridad”, dijo Whitney Merrill, abogada y profesional de seguridad y privacidad desde hace mucho tiempo que anteriormente pasó un tiempo en la FTC. “Pero creo que esta es una lección para cualquier funcionario de alto nivel. quién debe comunicarse con el gobierno: no se puede tratar las comunicaciones con el gobierno como si no fueran gran cosa”.
Khosrowshahi dijo que después de asumir el cargo de director ejecutivo de Uber, se enteró de la violación de datos y le pidió a Sullivan que le proporcionara detalles adicionales por correo electrónico.
El Sr. Sullivan envió un correo electrónico al Sr. Khosrowshahi unos días después, según el testimonio y los documentos judiciales. Más tarde, después de pedir a empresas externas que investigaran el asunto, el Sr. Khosrowshahi se enteró de que el correo electrónico no reconocía que los piratas informáticos habían descargado información personal sobre conductores y pasajeros.
Dijo que también se enteró de que el correo electrónico no había revelado que el Sr. Sullivan y su equipo habían pagado a los piratas informáticos $ 100,000, una suma generalmente grande para el programa de grandes recompensas, dijo el Sr. Khosrowshahi.
“Según los hechos que había aprendido, teníamos la obligación de revelar” el incidente a los reguladores, dijo en el estrado. “Estos problemas de seguridad son graves, y si existe la posibilidad de una obligación de divulgación, debe hacerlo. La gente se ve afectada por esto”.
Uber descubrió que había sido violado nuevamente el jueves cuando un pirata informático anunció su presencia en el sistema de mensajería del lugar de trabajo de la compañía, Slack. El hacker afirmó tener acceso a numerosos sistemas internos utilizados por la empresa para gestionar sus datos, códigos y comunicaciones. Uber cerró Slack y otros sistemas corporativos el jueves por la noche mientras investigaba el alcance de la infracción y notificaba a las autoridades.
El viernes, Uber dijo que no había encontrado evidencia de que el pirata informático hubiera obtenido acceso a “datos confidenciales del usuario”, como el historial de viajes. Todos sus servicios, incluida su aplicación insignia y Uber Eats, su servicio de entrega de alimentos, estaban funcionando, dijo la compañía.
Kate Conger contribuyó con este reportaje.
