Un ancien Uber Exec dans l’eau chaude après avoir payé 100000 $ en BTC à des pirates informatiques

On dirait qu’un ancien dirigeant d’Uber est en difficulté. Joseph Sullivan – l’ancien chef de la sécurité chez Uber – a été accusé d’avoir payé plus de 100000 dollars en bitcoins pour cacher une violation de données de l’entreprise survenue en 2016 plutôt que de se manifester et d’expliquer ce qui était arrivé aux bonnes autorités.

Questions concernant le comportement d’un Uber Exec

L’attaque peut avoir compromis des millions d’utilisateurs et de conducteurs. Ethereum Code a été accusé d’entrave à la justice et de tentative de dissimulation de la situation. On pense qu’il a caché les informations à la Federal Trade Commission (FTC) en payant de présumés pirates blancs qui n’ont pas réellement piraté ou compromis les données. Ce paiement a plutôt été émis pour donner l’impression que les pirates cherchaient à corriger des bogues de sécurité.

Un porte-parole du service de transport a publié la déclaration suivante:

Nous continuons de coopérer pleinement avec l’enquête du ministère de la Justice. Notre décision en 2017 de divulguer l’incident n’était pas seulement la bonne chose à faire, mais elle incarne les principes par lesquels nous gérons notre entreprise aujourd’hui: transparence, intégrité et responsabilité.

Bien que le piratage ait pu se produire en 2016, Uber lui-même n’a signalé l’incident qu’en novembre de l’année suivante. Le porte-parole de Sullivan, Bradford Williams, a également pris le temps de parler à la presse des circonstances impliquées dans la violation de données. Il déclare:

Les accusations portées contre M. Sullivan, qui est un expert respecté en cybersécurité et ancien avocat adjoint américain, sont sans fondement. Cette affaire est centrée sur une enquête sur la sécurité des données chez Uber par une grande équipe interfonctionnelle composée de certains des plus grands experts en sécurité au monde, y compris M. Sullivan. Sans les efforts de M. Sullivan et de son équipe, il est probable que les personnes responsables de cet incident n’auraient jamais été identifiées du tout… Dès le départ, M. Sullivan et son équipe ont collaboré étroitement avec les équipes juridiques, de communication et d’autres équipes pertinentes d’Uber , conformément aux politiques écrites de l’entreprise. Ces politiques indiquaient clairement que le service juridique d’Uber et non M. Sullivan ou son groupe était chargé de décider si, et à qui, l’affaire devait être divulguée.

Garder les choses silencieuses

Sullivan contrôlait la sécurité d’Uber entre avril 2015 et novembre 2017, juste au moment où l’entreprise annonçait pour la première fois la violation de données. Au milieu de son mandat, deux hackers l’ont contacté et ont exigé de grosses sommes d’argent en échange du silence sur les informations privées des clients et des chauffeurs. Les données concernant environ 57 millions de pilotes Uber distincts pourraient avoir été téléchargées par les acteurs malveillants, y compris les numéros de licence.

C’est en décembre 2016 qu’un paiement de 100000 $ BTC a été effectué aux pirates. Il a également travaillé pour leur faire signer des accords de non-divulgation qui déclaraient à tort qu’ils ne possédaient aucune information basée sur Uber.