Uber-chef dømmt for at skjule massivt databrud
Joseph Sullivan blev straffet for at have medvirket til at hemmeligholde hackerangreb, der ramte 57 millioner brugere
Sagsdetaljer
{"da":"Quick Facts","en":"Quick Facts"}
Klassifikation:
{"da":"Quick Facts","en":"Quick Facts"}
## Obstruktion og hemmeligholdelse
Joseph Sullivan, der fungerede som Chief Security Officer (CSO) hos Uber, blev dømt for at være medvirkende til at hemmeligholde et af teknologibranchen større sikkerhedsbrud. Han blev tiltalt for én anklage om obstruktion af retfærdighed og én anklage om bevidst hemmeligholdelse af en forbrydelse — såkaldt misprision of felony.
Bruddet fandt sted i oktober 2016 og blev opdaget måneden efter. Hackerne havde fået adgang til Ubers systemer ved hjælp af stjålne GitHub-legitimationsoplysninger, som indeholdt AWS-nøgler til en ukrypteret S3-beholder.
## Omfattende datakompromittering
Hackerangrebets omfang var betydeligt. I alt blev data fra 57 millioner Uber-brugere og chauffører kompromitteret. De stjålne oplysninger omfattede navne, e-mailadresser, telefonnumre og cirka 600.000 amerikanske kørekortsnumre — oplysninger, som almindeligt kunne være brugt til identitetstyveri eller anden misbrug.
## Betaling til hackere
I stedet for at indberette bruddet til myndighederne valgte Uber-ledelsen at betale hackerne 100.000 dollar for at slette dataene og underskrive en hemmelighedsaftale (NDA). Ubets betaling til hackerne blev dækket ind som en såkaldt bug bounty — en ordning, hvor virksomheder belønner sikkerhedsforskere, der finder huller i deres systemer. Dette gjorde det muligt for Uber at håndtere situationen uden offentlig kendskab.
## Over et år uden offentliggørelse
Databruddet forblev hemmeligt i over et år. Først den 21. november 2017 — mere end 13 måneder senere — offentliggjorde Uber informationen om hackerangrebets eksistens. Den lange tidsperiode uden offentliggørelse var central i sagen mod Sullivan.
