Em julgamento realizado no último dia 05, o ex-chefe de segurança da Uber, Joe Sullivan, foi julgado culpado pelo Júri do Tribunal Federal de San Francisco por obstruir uma investigação federal e por deliberadamente ocultar das autoridades um crime federal de violação de dados. Considerando as penas máximas previstas para estes crimes, Sullivan pode pegar até 8 anos de prisão (cinco anos para a acusação de obstrução e até três anos para uma acusação de encobrir crime das autoridades).
Joe Sullivan atuou como chefe na segurança da informação da Uber entre abril de 2015 e novembro de 2017. Em outubro de 2016 hackers invadiram o servidor de armazenamento de dados do Uber e roubaram as informações pessoais de 57 milhões de motoristas e usuários do aplicativo, incluindo nomes, números de telefone, endereços de e-mail e 600.000 números de carteira de motorista.
Houve contato pelos hackers através do endereço de e-mail de Sullivan exigindo pagamento de pelo menos US$ 100.000, evidenciando se tratar de ransomware. A equipe de Sullivan encaminhou ao programa de recompensas por bugs do Uber, uma forma de pagar pesquisadores para relatar vulnerabilidades de segurança (os famosos “white hat”, hackers do bem). Como a recompensa do programa era limitado à US$ 10.000, Sullivan e sua equipe, para encobrir a violação, providenciaram pagamento aos cibercriminosos de US$ 100.000 por meio de seu programa de recompensas de bugs “HackerOne”, instruindo-os a destruir os dados e a assinar acordos de confidencialidade.
A Uber não relatou o incidente até que um novo executivo-chefe, Dara Khosrowshahi, ingressou em 2017. Os hackers se declararam culpados em outubro de 2019 admitindo que roubaram informações de servidores desprotegidos da Amazon Web Services e exigiram pagamento para destruir os dados.
A investigação apurou que Sullivan tomou muitas medidas para impedir que a Comissão Federal de Comércio dos EUA não descobrisse sobre a violação e atos praticados. Apurou-se que Sullivan enganou a equipe administrativa da Uber sobre a violação, não fornecendo detalhes críticos sobre a violação. Ele teria pedido a sua equipe que preparasse relatório do incidente, mas o adulterou.
O Júri, composto por seis homens e seis mulheres levou mais de 19 horas para chegar a um veredito. Um dos jurados disse, após o julgamento, que a extensa gama de documentos apresentados deixou claro que houve intencional ocultação: “Foi tudo datado, cronometrado e documentado com muita clareza”. Com pagamento de fiança, Sullivan permanece em liberdade, aguardando sentença que será definida em uma data posterior.
O caso pode balizar a forma como os profissionais de segurança lidam com violações de dados. Considerando a legislação brasileira, a LGPD obriga o controlador a comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.