Mantan kepala keamanan Uber telah dinyatakan bersalah atas penghalangan kriminal karena berusaha menutupi pelanggaran data yang menyebabkan puluhan juta catatan pelanggan dan pengemudi dicuri.

Juri federal di San Francisco menghukum Joseph Sullivan, mantan kepala petugas keamanan (CSO) Uber, karena menghalangi keadilan dan menyembunyikan pengetahuan bahwa kejahatan federal telah dilakukan, Departemen Kehakiman mengkonfirmasi pada hari Rabu.

Kasus tersebut berkaitan dengan pelanggaran sistem Uber pada 2016 yang mengungkap data 50 juta pelanggan dan tujuh juta pengemudi, termasuk nama, alamat email, nomor telepon, dan sekitar 600.000 nomor SIM untuk pengemudi AS.

Pelanggaran data terjadi hanya beberapa bulan setelah Sullivan dipekerjakan oleh Uber untuk membantu perusahaan meningkatkan keamanan sibernya setelah pelanggaran yang lebih kecil pada tahun 2014 yang membuat peretas mengakses sekitar 50.000 informasi pribadi konsumen.

Setelah mengetahui pelanggaran tahun 2016, Sullivan memulai skema untuk menyembunyikannya dari publik dan Komisi Perdagangan Federal (FTC), yang telah menyelidiki pelanggaran tahun 2014, kata jaksa penuntut.

Sullivan, yang sekarang menjabat sebagai CSO Cloudflare, memberi tahu seorang bawahan bahwa informasi tentang pelanggaran tersebut perlu “dikendalikan dengan ketat” dan cerita di luar grup keamanan adalah bahwa “penyelidikan ini tidak ada”. Dia juga mengatur untuk membayar para peretas $ 100.000 dengan kedok program hadiah bug dengan imbalan mereka menandatangani perjanjian kerahasiaan yang berjanji untuk tidak mengungkapkan peretasan tersebut.

Uber memecat Sullivan pada 2017 dan pada 2020 jaksa federal mendakwanya dengan satu dakwaan menghalangi dan satu dakwaan salah dalam kejahatan. Persidangannya diyakini sebagai pertama kalinya seorang eksekutif perusahaan menghadapi tuntutan pidana atas peretasan.

“Perusahaan teknologi di Distrik Utara California mengumpulkan dan menyimpan sejumlah besar data dari pengguna,” kata Jaksa AS Hinds. “Kami berharap perusahaan-perusahaan itu melindungi data itu dan memberi tahu pelanggan dan otoritas yang sesuai ketika data tersebut dicuri oleh peretas. Kami tidak akan mentolerir penyembunyian informasi penting dari publik oleh eksekutif perusahaan yang lebih tertarik untuk melindungi reputasi mereka dan perusahaan daripada melindungi pengguna. Jika perilaku seperti itu melanggar hukum federal, itu akan dituntut.”

Uber tidak secara terbuka mengungkapkan insiden tersebut atau memberi tahu FTC sampai kepala eksekutif baru, Dara Khosrowshahi, bergabung dengan perusahaan pada tahun 2017. Sejak itu, Uber telah membayar $148 juta untuk menyelesaikan kasus yang diajukan oleh 50 negara bagian AS dan Distrik Columbia untuk upaya tersebut. menutupi pelanggaran. Itu juga terkena denda dari otoritas perlindungan data Inggris dan Belanda dengan total hampir $1,2 juta; pelanggaran tersebut memengaruhi 82.000 pengemudi yang berbasis di Inggris dan 174.000 warga negara Belanda.

Tanggal hukuman belum ditetapkan, tetapi Sullivan menghadapi hukuman maksimal lima tahun penjara karena menghalangi tuntutan keadilan, dan hingga tiga tahun karena tidak melaporkan kejahatan tersebut, menurut DOJ.

Berita tentang keyakinan Sullivan datang hanya beberapa minggu setelah Uber mengonfirmasi pelanggaran baru-baru ini yang membuat peretas membobol jaringan perusahaan dan mengakses sistem yang menyimpan banyak sekali data pelanggan. Uber kemudian mengungkapkan bahwa peretas yang berafiliasi dengan Lapsus$ mencuri beberapa informasi internal dan pesan Slack, tetapi mengatakan bahwa tidak ada informasi sensitif — seperti data kartu kredit dan riwayat perjalanan — yang diambil.