NEW YORK TIMES - Joe Sullivan, ex-chefe de segurança do Uber, foi considerado culpado nesta quarta-feira, 6, por não ter divulgado uma violação de registros de clientes e motoristas aos reguladores do governo. Em 2016, enquanto a Comissão Federal de Comércio (FTC, na sigla em inglês) investigava o Uber por uma violação anterior de seus sistemas online, Sullivan estava ciente de uma nova falha que afetou as contas de mais de 57 milhões de passageiros e motoristas.
O júri considerou Sullivan culpado nos crimes de obstrução de justiça e detenção de provas, para esconder um crime das autoridades.
O caso - que se acredita ser a primeira vez que um executivo da empresa enfrentou um processo criminal por um ataque hacker - pode mudar a forma como os profissionais de segurança lidam com as violações de dados.
“A forma como as responsabilidades são divididas vai ser impactada por isso. O que está documentado e a maneira como os programas de recompensas por bugs são projetados serão impactada por isso”, disse Chinmayi Sharma, acadêmico residente no Robert Strauss Center for International Security and Law e professor da University of Texas at Austin School of Law. O julgamento de Sullivan foi concluído na última sexta-feira, 30, e o júri de seis homens e seis mulheres levou mais de 19 horas para chegar a um veredito.
“Embora obviamente discordemos do veredito do júri, agradecemos sua dedicação e esforço neste caso”, disse David Angeli, advogado de Sullivan. “Senhor, o único foco de Sullivan – neste incidente e ao longo de sua distinta carreira – tem sido garantir a segurança dos dados pessoais das pessoas na internet.” Andrew Dawson, advogado assistente dos EUA, se recusou a comentar o veredito.
O Uber não respondeu imediatamente aos pedidos de comentários. Sullivan foi intimado pela FTC enquanto investigava uma violação dos sistemas online do Uber, em 2014. Dez dias após o depoimento, ele recebeu um e-mail de um hacker que alegou ter encontrado outra vulnerabilidade de segurança em seus sistemas. Sullivan soube que o hacker e um cúmplice baixaram os dados pessoais de cerca de 600 mil motoristas e informações pessoais adicionais associadas a 57 milhões de passageiros e parceiros, de acordo com depoimentos e documentos judiciais.
Os hackers pressionaram o Uber a pagar pelo menos US$ 100 mil. A equipe de Sullivan os encaminhou para o programa de recompensas de bugs do Uber, uma forma de pagar pesquisadores para relatar vulnerabilidades de segurança. O programa limitou os pagamentos em US$ 10 mil, de acordo com depoimentos e documentos do tribunal. Sullivan e sua equipe pagaram aos hackers o valor inicial de US$ 100 mil e os fizeram assinar um acordo de confidencialidade.
Durante seu depoimento, um dos hackers, Vasile Mereacre, disse que estava tentando extorquir dinheiro do Uber.
O Uber não divulgou publicamente o incidente ou informou a FTC até que um novo CEO, Dara Khosrowshahi, ingressou na empresa em 2017. Os dois hackers se declararam culpados do hack em outubro de 2019. Os Estados normalmente exigem que as empresas divulguem violações se os hackers baixarem dados pessoais e um certo número de usuários são afetados. Não há lei federal exigindo que empresas ou executivos revelem violações aos reguladores.
Os promotores federais argumentaram que Sullivan sabia que revelar o novo ataque cibernético estenderia a investigação da FTC e prejudicaria sua reputação. “Ele tomou muitas medidas para impedir que a FTC e outros descobrissem sobre isso”, disse Benjamin Kingsley, advogado assistente dos EUA, durante as alegações finais na sexta-feira. “Esta foi uma retenção deliberada e ocultação de informações.”
Sullivan não revelou o hack de 2016 ao conselho geral do Uber, de acordo com depoimentos e documentos do tribunal. Ele discutiu a violação com outro advogado do Uber, Craig Clark.
Como Sullivan, Clark foi demitido por Khosrowshahi depois que o novo CEO soube dos detalhes da violação. Clark recebeu imunidade de promotores federais em troca de testemunhar contra Sullivan.
Clark afirmou, em depoimento, que Sullivan havia dito à equipe de segurança do Uber que precisava manter a violação em segredo e que ele havia alterado o acordo de confidencialidade assinado pelos hackers para fazer parecer, falsamente, que o hack era uma pesquisa do programa de recompensas de bug.
Sullivan disse que discutiria a violação com a “equipe A” de altos executivos do Uber, de acordo com o testemunho de Clark. Ele compartilhou o assunto com apenas um membro da equipe A: o CEO na época, Travis Kalanick. Kalanick aprovou o pagamento de US$ 100 mil aos hackers, de acordo com documentos judiciais.
Os advogados de Sullivan argumentaram que ele estava apenas fazendo seu trabalho. Eles argumentaram que Sullivan e outros usaram o programa de recompensas por bugs e o acordo de confidencialidade para evitar que os dados do usuário fossem vazados – e para identificar os hackers – e que Sullivan não havia ocultado o incidente da FTC.
Após o julgamento, um dos jurados, Joel Olson, disse que a extensa gama de documentos apresentados pelos advogados no caso, incluindo edições no acordo de confidencialidade, deixou claro que Sullivan havia ocultado a violação das autoridades. “Foi tudo datado, cronometrado e documentado com muita clareza”, disse ele.
Os comentários são exclusivos para assinantes do Estadão.