SAN FRANCISCO (AP) – Der ehemalige Chief Security Officer von Uber wurde am Mittwoch verurteilt, weil er versucht hatte, eine Datenschutzverletzung im Jahr 2016 zu vertuschen bei dem Hacker auf zig Millionen Kundendatensätze des Ride-Hailing-Dienstes zugegriffen haben.
Eine Bundesjury in San Francisco verurteilte Joseph Sullivan der Behinderung der Justiz und der Verschleierung des Wissens, dass ein Bundesverbrechen begangen worden war, teilten die Bundesanwälte mit.
Sullivan bleibt bis zur Verurteilung auf Kaution frei und könnte wegen der beiden Anklagepunkte mit insgesamt acht Jahren Gefängnis rechnen, wenn er verurteilt wird, sagten die Staatsanwälte.
„Technologieunternehmen im Northern District of California sammeln und speichern riesige Datenmengen von Benutzern“, sagte US-Anwältin Stephanie M. Hinds in einer Erklärung. „Wir werden es nicht tolerieren, dass wichtige Informationen vor der Öffentlichkeit von Führungskräften von Unternehmen verschwiegen werden, die mehr daran interessiert sind, ihren Ruf und den ihrer Arbeitgeber zu schützen, als den Schutz der Benutzer.“
Es wurde angenommen, dass es sich um die erste strafrechtliche Verfolgung eines Unternehmensleiters wegen einer Datenschutzverletzung handelte.
Ein Anwalt von Sullivan, David Angeli, stellte das Urteil in Frage.
“Herr. Sullivans einziger Fokus – bei diesem Vorfall und während seiner bemerkenswerten Karriere – war die Gewährleistung der Sicherheit der persönlichen Daten von Menschen im Internet“, sagte Angeli New York Times.
Eine E-Mail an Uber mit der Bitte um Stellungnahme zu der Verurteilung wurde nicht sofort beantwortet.
Sullivan wurde 2015 als Chief Security Officer von Uber eingestellt. Im November 2016 erhielt Sullivan eine E-Mail von Hackern, und Mitarbeiter bestätigten schnell, dass sie Aufzeichnungen über etwa 57 Millionen Benutzer und auch 600.000 Führerscheinnummern gestohlen hatten, sagten die Staatsanwälte.
Nachdem Sullivan von dem Verstoß erfahren hatte, begann er mit einem Plan, um ihn vor der Öffentlichkeit und der Federal Trade Commission zu verbergen, die einen kleineren Hack im Jahr 2014 untersucht hatte, sagten die Behörden.
Laut der US-Staatsanwaltschaft sagte Sullivan seinen Untergebenen, dass „die Geschichte außerhalb der Sicherheitsgruppe lauten sollte, dass ‚diese Untersuchung nicht existiert‘“, und vereinbarte, den Hackern 100.000 Dollar in Bitcoin zu zahlen, als Gegenleistung für die Unterzeichnung von Geheimhaltungsvereinbarungen versprach, den Hack nicht zu enthüllen. Er erwähnte den Verstoß auch nie gegenüber Anwälten von Uber, die an der Untersuchung der FTC beteiligt waren, sagten die Staatsanwälte.
„Sullivan hat diese Taten orchestriert, obwohl er wusste, dass die Hacker andere Unternehmen sowie Uber hackten und erpressten“, sagte die US-Staatsanwaltschaft.
Das neue Management von Uber begann im Herbst 2017 mit der Untersuchung des Verstoßes. Obwohl Sullivan den neuen Chief Executive Officer und andere angelogen hatte, wurde die Wahrheit ans Licht gebracht und der Verstoß öffentlich gemacht, so die Staatsanwaltschaft.
Sullivan wurde zusammen mit Craig Clark gefeuert, einem Uber-Anwalt, dem er von dem Verstoß erzählt hatte. Clark wurde von der Staatsanwaltschaft Immunität gewährt und sagte gegen Sullivan aus.
Keine anderen Uber-Führungskräfte wurden in dem Fall angeklagt.
Die Hacker bekannten sich 2019 der Anklage wegen Computerbetrugs schuldig und warten auf ihre Verurteilung.
Sullivan wurde der Behinderung von Verfahren der Federal Trade Commission und des Fehlgriffs eines Verbrechens für schuldig befunden, was bedeutet, die Kenntnis eines Verbrechens vor den Behörden zu verbergen.
In der Zwischenzeit haben einige Experten in Frage gestellt, wie sehr sich die Cybersicherheit bei Uber seit dem Verstoß verbessert hat.
Das gab das Unternehmen im vergangenen Monat bekannt dass alle seine Dienste nach dem, was Sicherheitsexperten als schwerwiegenden Datenverstoß bezeichneten, betriebsbereit waren, und behaupteten, es gebe keine Beweise dafür, dass der Hacker Zugang zu sensiblen Benutzerdaten erhalten habe.
Der einsame Hacker verschaffte sich offenbar Zugang, indem er sich als Kollege ausgab und einen Uber-Mitarbeiter dazu verleitete, seine Zugangsdaten preiszugeben. Screenshots, die der Hacker mit Sicherheitsforschern geteilt hat, zeigen, dass sie vollen Zugriff auf die Cloud-basierten Systeme erhalten haben, in denen Uber sensible Kunden- und Finanzdaten speichert.
Es ist nicht bekannt, wie viele Daten der Hacker gestohlen hat oder wie lange er sich im Netzwerk von Uber aufgehalten hat. Es gab keinen Hinweis darauf, dass sie Daten zerstörten.