Một bồi thẩm đoàn của tòa án liên bang Hoa Kỳ đã kết luận rằng cựu Giám đốc An ninh Uber Joseph Sullivan phạm tội không tiết lộ vi phạm hồ sơ khách hàng và tài xế năm 2016 cho các cơ quan quản lý và cố gắng che đậy vụ việc.
Sullivan đã bị kết án với hai tội danh: Một tội cản trở công lý bằng cách không báo cáo sự việc và một tội danh khác vì tội lỗi. Anh ta phải đối mặt với án tù tối đa là năm năm cho tội danh cản trở và tối đa là ba năm cho tội danh sau đó.
“Các công ty công nghệ ở Quận phía Bắc của California thu thập và lưu trữ một lượng lớn dữ liệu từ người dùng”, Luật sư Hoa Kỳ Stephanie M. Hinds cho biết trong một tuyên bố báo chí.
“Chúng tôi hy vọng các công ty đó sẽ bảo vệ dữ liệu đó và cảnh báo cho khách hàng cũng như các cơ quan chức năng thích hợp khi dữ liệu đó bị tin tặc đánh cắp. Sullivan khẳng định đã làm việc để che giấu việc vi phạm dữ liệu với Ủy ban Thương mại Liên bang và đã thực hiện các bước để ngăn chặn tin tặc bị bắt.”
Vụ hack năm 2016 của Uber xảy ra do hai tin tặc truy cập trái phép vào các bản sao lưu cơ sở dữ liệu của công ty, khiến công ty gọi xe bí mật trả 100.000 USD tiền chuộc vào tháng 12 năm 2016 để đổi lấy việc xóa thông tin bị đánh cắp.
Uber cũng đã yêu cầu những kẻ tống tiền ký một thỏa thuận không tiết lộ thông tin nhằm cố gắng vượt qua vụ đột nhập như một phần thưởng tiền thưởng lỗi. Các bản sao lưu chứa dữ liệu của 50 triệu hành khách Uber và 7 triệu tài xế.
Mọi thứ phức tạp hơn, sự cố xảy ra khi Bộ Tư pháp Hoa Kỳ và Ủy ban Thương mại Liên bang (FTC) đang thăm dò công ty về một vi phạm dữ liệu khác diễn ra vào ngày 13 tháng 5 năm 2014.
Vào tháng 2 năm 2015, Uber tiết lộ rằng một trong những cơ sở dữ liệu của họ đã bị truy cập không đúng cách sau một sự xâm phạm tiềm ẩn của một trong các khóa mã hóa, dẫn đến việc lộ tên và số giấy phép của khoảng 50.000 tài xế. Sự việc được phát hiện vào ngày 14/9/2016.
“Sau khi gây hiểu lầm cho người tiêu dùng về các hoạt động bảo mật và quyền riêng tư của mình, Uber đã làm tăng thêm hành vi sai trái của mình khi không thông báo cho Ủy ban rằng họ đã phải chịu một vụ vi phạm dữ liệu khác vào năm 2016 trong khi Ủy ban đang điều tra vụ vi phạm đáng chú ý tương tự năm 2014 của công ty”, FTC lưu ý vào năm 2018.
DoJ nói rằng Sullivan đóng một vai trò quan trọng trong việc định hình phản ứng của Uber với FTC liên quan đến vụ vi phạm năm 2014, với bị đơn làm chứng tuyên thệ vào ngày 4 tháng 11 năm 2016, về số bước mà anh ta tuyên bố công ty đã thực hiện để bảo mật dữ liệu người dùng.
Nhưng khi biết rằng Uber lại bị xâm phạm, chỉ mười ngày sau lời khai FTC của anh ta, cơ quan này cho biết “Sullivan đã thực hiện một kế hoạch để ngăn chặn bất kỳ thông tin vi phạm nào đến được với FTC” thay vì chọn tiết lộ vấn đề cho các nhà chức trách và người dùng của nó.
Các công tố viên liên bang cũng cáo buộc Sullivan nói dối giám đốc điều hành của Uber, Dara Khosrowshahi cũng như các luật sư bên ngoài của công ty đang điều tra vụ việc năm 2016, nói rõ “sự thật về vi phạm” cuối cùng đã được đưa ra ánh sáng vào tháng 11/2017.
Hơn nữa, Travis Kalanick, người đồng sáng lập và sau đó là Giám đốc điều hành của Uber, người đã từ chức khỏi công ty vào tháng 6 năm 2017, được cho là đã chấp thuận chiến lược của Sullivan để xử lý hành vi xâm nhập trái phép. Kalanick chưa bị tính phí.
Trong một tuyên bố được chia sẻ với The New York Times, nhóm pháp lý của Sullivan cho biết trọng tâm duy nhất của anh ấy trong suốt vụ việc và sự nghiệp chuyên nghiệp của anh ấy là đảm bảo “sự an toàn cho dữ liệu cá nhân của mọi người trên internet.”
Sự phát triển này đánh dấu lần đầu tiên một giám đốc điều hành cấp cao của công ty phải đối mặt với cáo buộc hình sự vì vi phạm dữ liệu, diễn ra khi hai tin tặc liên quan đến vụ việc năm 2016 đang chờ tuyên án vì tội âm mưu gian lận sau khi nhận tội vào tháng 10 năm 2019.
“Các lời nhận tội riêng biệt mà các tin tặc đưa ra chứng minh rằng sau khi Sullivan hỗ trợ che đậy vụ hack Uber, các tin tặc đã có thể thực hiện thêm một vụ xâm nhập vào một tổ chức công ty khác – Lynda.com – và cũng cố gắng đòi tiền chuộc dữ liệu đó”. DoJ đã chỉ ra.
Tuy nhiên, thực tế là các lỗi bảo mật năm 2014 và 2016 đã phản ánh lẫn nhau, Uber đã được chú ý vào tháng trước vì những lý do sai lầm khi hệ thống của họ bị vi phạm lần thứ ba trong một vụ hack mà kể từ đó nó có liên kết với nhóm tội phạm mạng LAPSUS $.
Vào tháng 7 vừa qua, Uber cũng đã thỏa thuận với DoJ khoản thanh toán 148 triệu USD và đồng ý “thực hiện một chương trình toàn vẹn của công ty, các biện pháp bảo vệ an toàn dữ liệu cụ thể, và các kế hoạch ứng phó sự cố và thông báo vi phạm dữ liệu, cùng với các đánh giá hai năm một lần.”
“Thông điệp trong phán quyết có tội hôm nay rất rõ ràng: các công ty lưu trữ dữ liệu khách hàng của họ có trách nhiệm bảo vệ dữ liệu đó và làm điều đúng đắn khi xảy ra vi phạm”, Đặc vụ FBI San Francisco Robert K. Tripp nói.
