Cựu Giám đốc An ninh Uber bị buộc tội vì che giấu vụ vi phạm dữ liệu năm 2016

Mới đây, các công tố viên Hoa Kỳ đã buộc tội cựu giám đốc an ninh Uber, Joe Sullivan, vì tội danh cố tình che đậy vụ vi phạm dữ liệu mà ứng dụng gọi xe này đối mặt vào năm 2016.



Theo thông cáo báo chí do Bộ Tư pháp Hoa Kỳ công bố , thì Sullivan “đã cố ý che giấu, làm chệch hướng và đánh lừa Ủy ban Thương mại Liên bang (FTC) về vụ vi phạm dữ liệu”, bao gồm việc trả cho tin tặc 100.000 đô la tiền chuộc để giữ cho vụ việc không bị lọt ra ngoài.



“Hôm nay, một đơn khiếu nại hình sự đã được đệ trình lên tòa án liên bang cáo buộc Joseph Sullivan cản trở công lý và phạm trọng tội liên quan đến âm mưu che đậy vụ hack Uber Technologies vào năm 2016,” bản thông cáo viết.



Vụ vi phạm dữ liệu năm 2016 đã làm lộ tên, địa chỉ email, số điện thoại của 57 triệu tài xế và hành khách sử dụng dịch vụ gọi xe Uber, cũng như giấy phép lái xe của khoảng 600.000 tài xế.



Tuy nhiên, công ty chỉ tiết lộ công khai vụ việc này gần một năm sau đó (năm 2017), ngay sau khi Sullivan rời bỏ công việc của mình tại Uber vào tháng 11.



Sau đó, có thông tin cho rằng hai hacker, Brandon Charles Glover, người Florida và Vasile Mereacre, người Toronto, chính là bộ đôi đứng sau vụ hack mà Sullivan chấp nhận trả tiền để đổi lấy lời hứa sẽ xóa dữ liệu của hàng triệu khách hàng mà chúng đã đánh cắp.



Tất cả điều này bắt đầu vào năm 2016 khi Sullivan, với tư cách là đại diện cho Uber, đang đối mặt với các hoạt động điều tra gắt gao của FTC do liên quan đến một vụ vi phạm dữ liệu trước đó vào năm 2014. Chính tại thời điểm này, Brandon và Vasile đã liên hệ với ông ta và thông báo về vụ vi phạm dữ liệu mới.





“Vào ngày 14 tháng 11 năm 2016, khoảng 10 ngày sau khi cung cấp lời khai của mình cho FTC, Sullivan nhận được email từ một hacker thông báo rằng Uber đã bị tấn công một lần nữa.”



“Nhóm của Sullivan đã có thể giải quyết vụ vi phạm chỉ trong vòng 24 giờ ngay sau khi ông nhận được email. Tuy nhiên, thay vì báo cáo vi phạm này, Sullivan lại cố ý bưng bít vụ việc để ngăn không cho FTC biết.”



Theo tài liệu của tòa án, số tiền chuộc đã được trả thông qua một chương trình bug bounty, nhằm ngụy trang khoản thanh toán dưới dạng tiền thưởng cho những hacker mũ trắng, những người thông báo các lỗ hổng bảo mật cho doanh nghiệp nhưng không xâm phạm dữ liệu.



“Uber đã trả cho các tin tặc 100.000 đô la bằng Bitcoin vào tháng 12 năm 2016, bất chấp việc các tin tặc này từ chối cung cấp tên thật của chúng (tại thời điểm đó). Ngoài ra, Sullivan còn tìm cách yêu cầu chúng ký các bản thỏa thuận không tiết lộ. Các thỏa thuận này có chứa những nội dung sai lệch, nhận định các hacker đã không đánh cắp hay lưu trữ bất kỳ dữ liệu người dùng nào,” các công tố viên liên bang cho biết. 



“Hơn nữa, sau khi vụ việc đến tai toàn thể nhân viên Uber, Sullivan đã sắp xếp để các tin tặc ký các bản sao mới của bản thỏa thuận không tiết lộ bằng tên thật của chúng. Các thỏa thuận mới vẫn giữ nguyên nội dung sai lệch là không có dữ liệu nào bị đánh cắp. Cuối cùng, phải đến tháng 11 năm 2017, khi ban quản lý mới của Uber lên nắm quyền thì vụ việc này mới được tiết lộ công khai ra công chúng và FTC.”



Năm ngoái, cả hai tin tặc này đều đã thừa nhận tội danh hack và tống tiền Uber, LinkedIn cùng nhiều tập đoàn khác của Hoa Kỳ.



Năm 2018, cơ quan quản lý bảo vệ dữ liệu của Anh và Hà Lan cũng phạt Uber 1,1 triệu USD vì đã không bảo vệ được thông tin cá nhân của khách hàng trong cuộc tấn công mạng năm 2016.



Nếu bị kết tội cố tình che đậy và cản trở công lý, Sullivan có thể phải đối mặt với mức án tối đa là 8 năm tù giam, cùng khoản tiền phạt lên tới 500.000 USD.



Theo The Hacker News
The post Cựu Giám đốc An ninh Uber bị buộc tội vì che giấu vụ vi phạm dữ liệu năm 2016 appeared first on SecurityDaily .