Voormalig Uber Security Chief belast met Bitcoin Hush Money Payment

Het Amerikaanse Ministerie van Justitie (DOJ) kondigde aan dat het een zaak had geopend tegen Joseph Sullivan, de voormalige Chief Security Officer (CSO) van het bedrijf, nadat hij naar verluidt stilzwijgend geld had betaald om de details van de hack van 2016 geheim te houden.

Het geheimhouden van de hack details

Volgens de aankondiging wisten Sullivan en Uber van een data-inbreuk in 2016 die leidde tot de bekendmaking van ongeveer 600.000 Uber-bestuurdersinformatie. De hack had ook gevolgen voor naar schatting 57 miljoen app-gebruikers, waarbij hun privé-informatie in gevaar kwam.

Sullivan zou echter zijn best hebben gedaan om enkele gegevens van de hacker te verbergen voor de overheid. De voormalige CSO werd beschuldigd van het betalen van $100.000 in Bitcoin in die tijd door middel van een bug bounty-programma, met de bedoeling om informatie over de hack stil te houden.

Bug bounty-programma’s worden meestal gebruikt door white hat hackers die rapporteren over de strenge veiligheidskwesties van bedrijven. Deze legitieme programma’s houden in dat hackers bedrijven op de hoogte brengen van fouten in hun systemen, waarbij de bedrijven de hackers in ruil daarvoor betalen. Top tech bedrijven zoals Apple en Samsung staan bekend om het organiseren van deze.

Sullivan zou ook stappen hebben ondernomen om de Federal Trade Commission (FTC) te „af te buigen en te misleiden“ in hun onderzoek – zowel wat betreft de data-inbreuk als de $100.000 die hij in hush money heeft betaald.

De voormalige CSO vroeg de hackers zelfs om geheimhoudingsovereenkomsten te ondertekenen, waarin ten onrechte werd gesteld dat ze geen persoonlijke informatie van Uber hadden gekregen. Ondanks een onderzoek dat leidde tot de ontdekking van twee hackers die verantwoordelijk zijn voor de inbreuk, vroeg hij nog steeds aan andere hackers om NDA’s te ondertekenen, in plaats van de inbreuk te melden aan de juiste autoriteiten.

Per de aankondiging, wordt Sullivan nu geconfronteerd met beschuldigingen van een misdrijf en belemmering van de rechtsgang.

Sullivan op de Defensieve

Sullivan is gekomen om deze beschuldigingen te ontkennen. Volgens een rapport van Cointelegraph legde zijn woordvoerder, Bradford Williams, uit dat de beschuldigingen ongegrond en zonder enige verdienste waren.

Sprekend met de nieuwsbron, wees Williams erop dat de inspanningen van Sullivan de enige reden waren waarom Uber en de regelgevers in de eerste plaats te weten kwamen over de hacks. Hij voegde eraan toe dat de voormalige CSO samenwerkte met de relevante leidinggevenden en teams van Uber, en dat hij dit alles deed terwijl hij zich hield aan het beleid van het bedrijf.

„Dat beleid maakte duidelijk dat de juridische afdeling van Uber – en niet M. Sullivan of zijn groep – verantwoordelijk was voor de beslissing of, en aan wie, de kwestie moet worden onthuld,“ voegde Williams eraan toe.

Het geval van Sullivan is het recentst in een koord van bedrijfambtenaren die met hakkers moeten communiceren die cryptocurrencies gebruiken. De meest voorkomende handeling hiervan is door middel van ransomware, waarbij bedrijven crypto-betalingen maken in ruil voor een herstel van hun online systemen na hacker-geïnduceerde uitvaltijden.

Deze maand meldde Reuters dat reisbureau CWT 414 BTC (destijds ongeveer 4,5 miljoen dollar) betaalde aan ransomware-aanvallers. De hackers hadden de Ragnar Locker ransomware gebruikt om de toegang tot meer dan 30.000 computers uit te schakelen en gevoelige gegevens te stelen.

Terwijl ze in eerste instantie $10 miljoen eisten, slaagden de beveiligingsbeambten van het bedrijf erin om de prijs te verlagen op basis van beweringen dat ze geld hadden verloren als gevolg van de pandemie.