Sagsmappe
Uber-chef dømmt for at skjule massivt databrud
Joseph Sullivan blev straffet for at have medvirket til at hemmeligholde hackerangreb, der ramte 57 millioner brugere
BEVIS
Sagsdetaljer
{"da":"Quick Facts","en":"Quick Facts"}
## Obstruktion og hemmeligholdelse
Joseph Sullivan, der fungerede som Chief Security Officer (CSO) hos Uber, blev dømt for at være medvirkende til at hemmeligholde et af teknologibranchen større sikkerhedsbrud. Han blev tiltalt for én anklage om obstruktion af retfærdighed og én anklage om bevidst hemmeligholdelse af en forbrydelse — såkaldt misprision of felony.
Bruddet fandt sted i oktober 2016 og blev opdaget måneden efter. Hackerne havde fået adgang til Ubers systemer ved hjælp af stjålne GitHub-legitimationsoplysninger, som indeholdt AWS-nøgler til en ukrypteret S3-beholder.
## Omfattende datakompromittering
Hackerangrebets omfang var betydeligt. I alt blev data fra 57 millioner Uber-brugere og chauffører kompromitteret. De stjålne oplysninger omfattede navne, e-mailadresser, telefonnumre og cirka 600.000 amerikanske kørekortsnumre — oplysninger, som almindeligt kunne være brugt til identitetstyveri eller anden misbrug.
## Betaling til hackere
I stedet for at indberette bruddet til myndighederne valgte Uber-ledelsen at betale hackerne 100.000 dollar for at slette dataene og underskrive en hemmelighedsaftale (NDA). Ubets betaling til hackerne blev dækket ind som en såkaldt bug bounty — en ordning, hvor virksomheder belønner sikkerhedsforskere, der finder huller i deres systemer. Dette gjorde det muligt for Uber at håndtere situationen uden offentlig kendskab.
## Over et år uden offentliggørelse
Databruddet forblev hemmeligt i over et år. Først den 21. november 2017 — mere end 13 måneder senere — offentliggjorde Uber informationen om hackerangrebets eksistens. Den lange tidsperiode uden offentliggørelse var central i sagen mod Sullivan.
## Konsekvenser for Uber og Sullivan
Joseph Sullivan blev efterfølgende fjernet fra sin stilling hos Uber på grund af hans rolle i at skjule bruddet. Han blev derefter tiltalt føderalt — en udvikling, der på det tidspunkt blev betegnet som muligvis første gang, at en leder i en større teknologivirksomhed blev stillet criminelt til ansvar for at hemmeligholde et cyberangreb.
Uber selv blev pålagt betydelige bøder. Virksomheden blev dømt til at betale 148 millioner dollar til amerikanske myndigheder for at have skjult bruddet. Desuden betalte Uber over 1,2 millioner dollar i bøder til databeskyttelsesmyndigheder i Storbritannien og Nederlandene.
## Præcedenssag inden for cybersikkerhed
Sagen mod Sullivan fremstod som vigtig præcedens inden for cybersikkerhed og retshåndhævelse. Det signalerede, at også virksomhedsledere kunne blive individuelt kriminelt ansvarlige for at hemmeligholde sikkerhedsbrud — ikke blot virksomhederne selv.
Der er [MANGLER: præcis domsdato og straf/fængselstid] i tilgængelige kilder.
**Kilder:** - https://techcrunch.com/2017/11/21/uber-data-breach-from-2016-affected-57-million-riders-and-drivers/ - https://www.cybersaint.io/blog/uber-hack-undisclosed - https://www.dataguard.com/blog/data-breach-uber/ - https://www.huntress.com/threat-library/data-breach/uber-data-breach