Eski Uber güvenlik şefi Joe Sullivan, federal mahkemede bir jüri tarafından müşteri ve sürücü kayıtlarının ihlalini hükümet düzenleyicilerine açıklamadığı suçlamasıyla Çarşamba günü suçlu bulundu.
2016 yılında, Federal Ticaret Komisyonu, Uber’i çevrimiçi sistemlerine yönelik daha önceki bir ihlal nedeniyle araştırırken, Bay Sullivan, 57 milyondan fazla sürücü ve sürücünün Uber hesaplarını etkileyen yeni bir ihlal olduğunu öğrendi.
Jüri, Bay Sullivan’ı FTC’nin soruşturmasını engellemekten ve yanlış suçlamalardan veya bir suçu yetkililerden gizlemekten suçlu buldu.
Bir şirket yöneticisinin bir bilgisayar korsanlığı nedeniyle ilk kez cezai kovuşturmayla karşı karşıya kaldığına inanılan dava, güvenlik uzmanlarının veri ihlallerini ele alma şeklini değiştirebilir.
“Sorumlulukların bölünme şekli bundan etkilenecek. Belgelenenler bundan etkilenecek. Robert Strauss Uluslararası Güvenlik ve Hukuk Merkezi’nde ikamet eden bir akademisyen ve Austin Hukuk Okulu’ndaki Texas Üniversitesi’nde öğretim görevlisi olan Chinmayi Sharma, bug ödül programlarının tasarlanma şekli bundan etkilenecek ”dedi.
Bay Sullivan’ın davası Cuma günü sona erdi ve altı erkek ve altı kadından oluşan jürinin karara varması 19 saatten fazla sürdü.
Bay Sullivan’ın avukatı David Angeli, “Jürinin kararına açıkça katılmasak da, bu davadaki özverilerini ve çabalarını takdir ediyoruz” dedi. “Bay. Sullivan’ın tek odak noktası – bu olayda ve seçkin kariyeri boyunca – insanların internetteki kişisel verilerinin güvenliğini sağlamak oldu.”
ABD’li avukat yardımcısı Andrew Dawson, karar hakkında yorum yapmayı reddetti. Uber, yorum taleplerine hemen yanıt vermedi.
Bay Sullivan, 2014 yılında Uber’in çevrimiçi sistemlerinin ihlalini araştırdığı için FTC tarafından görevden alındı. İfadesinden on gün sonra, sistemlerinde başka bir güvenlik açığı bulduğunu iddia eden bir bilgisayar korsanından bir e-posta aldı.
Bay Sullivan, mahkeme ifadesine ve belgelere göre bilgisayar korsanının ve bir suç ortağının yaklaşık 600.000 Uber sürücüsünün kişisel verilerini ve 57 milyon sürücü ve sürücüyle ilgili ek kişisel bilgileri indirdiğini öğrendi. Bilgisayar korsanları, Uber’e onlara en az 100.000 dolar ödemesi için baskı yaptı.
Bay Sullivan’ın ekibi onları, güvenlik açıklarını bildirmeleri için “beyaz şapkalı” araştırmacılara ödeme yapmanın bir yolu olan Uber’in hata ödül programına yönlendirdi. Mahkeme ifadesine ve belgelere göre program, ödemeleri 10.000 dolar ile sınırladı. Bay Sullivan ve ekibi, bilgisayar korsanlarına 100.000 dolar ödedi ve onlara bir gizlilik anlaşması imzalattı.
Bilgisayar korsanlarından biri olan Vasile Mereacre, ifadesi sırasında Uber’den zorla para almaya çalıştığını söyledi.
Uber, 2017’de yeni bir CEO olan Dara Khosrowshahi şirkete katılana kadar olayı kamuya açıklamadı veya FTC’yi bilgilendirmedi. İki bilgisayar korsanı, Ekim 2019’da saldırıyı kabul etti.
Devletler, bilgisayar korsanları kişisel verileri indirirse ve belirli sayıda kullanıcı etkilenirse, şirketlerin genellikle ihlalleri ifşa etmesini ister. Şirketlerin veya yöneticilerin ihlalleri düzenleyicilere açıklamasını gerektiren bir federal yasa yoktur.
Federal savcılar, Bay Sullivan’ın yeni hack’i ifşa etmenin FTC soruşturmasını genişleteceğini ve itibarını zedeleyeceğini bildiğini ve hack’i FTC’den gizlediğini savundu.
ABD avukat yardımcısı Benjamin Kingsley Cuma günkü kapanış tartışmaları sırasında, “FTC’nin ve diğerlerinin bunu öğrenmesini engellemek için birçok adım attı.” Dedi. “Bu kasıtlı bir bilgi saklama ve bilgi saklamaydı.”
Mahkeme ifadelerine ve belgelerine göre, Bay Sullivan, 2016 hack’ini Uber’in genel danışmanına açıklamadı. İhlali başka bir Uber avukatı Craig Clark ile tartıştı.
Bay Sullivan gibi, Bay Clark da Bay Khosrowshahi tarafından yeni CEO’nun ihlalin ayrıntılarını öğrenmesinden sonra kovuldu. Bay Clark, Bay Sullivan’a karşı ifade vermesi karşılığında federal savcılar tarafından dokunulmazlık verildi.
Bay Clark, Bay Sullivan’ın Uber güvenlik ekibine ihlali gizli tutmaları gerektiğini söylediğini ve Bay Sullivan’ın bilgisayar korsanları tarafından imzalanan ifşa etmeme anlaşmasını, hack’in beyaz şapkalı bir araştırma olduğunu yanlış bir şekilde göstermek için değiştirdiğini söyledi.
Bay Sullivan, Bay Clark’ın ifadesine göre, ihlali Uber’in üst düzey yöneticilerinden oluşan “A Takımı” ile görüşeceğini söyledi. Konuyu A Takımı’nın yalnızca bir üyesiyle paylaştı: o zamanın CEO’su Travis Kalanick. Mahkeme belgelerine göre, Bay Kalanick bilgisayar korsanlarına yapılacak 100.000 dolarlık ödemeyi onayladı.
Bay Sullivan’ın avukatları, onun sadece işini yaptığını savundu.
Bay Sullivan ve diğerlerinin, kullanıcı verilerinin sızdırılmasını önlemek ve bilgisayar korsanlarını tespit etmek için hata ödül programını ve gizlilik anlaşmasını kullandığını ve Bay Sullivan’ın olayı FTC’den gizlemediğini savundular.
Duruşmadan sonra, jüri üyelerinden Joel Olson, davada avukatlar tarafından sunulan ve gizlilik anlaşmasında yapılan düzenlemeler de dahil olmak üzere çok sayıda belgenin Bay Sullivan’ın ihlali yetkililerden gizlediğini açıkça ortaya koyduğunu söyledi. “Her şey çok net bir şekilde tarihlendirildi ve zamanlandı ve belgelendi” dedi.
Kaynak : https://www.nytimes.com/2022/10/05/technology/uber-security-chief-joe-sullivan-verdict.html