Jury: voormalig beveiligingshoofd Uber heeft datalek in 2016 verzwegen

Joseph Sullivan, het voormalig beveiligingshoofd van taxidienst Uber, heeft zich schuldig gemaakt aan het verzwijgen van een groot datalek in 2016, oordeelt de jury van een federale rechtbank in San Francisco. Hierbij zijn de gegevens van 57 miljoen klanten en bestuurders gestolen.

Sullivan is schuldig bevonden bij twee aanklachten: het belemmeren van de rechtsgang en het opzettelijk verzwijgen van een misdrijf, schrijft het Amerikaanse ministerie van Justitie woensdag. Het voormalig beveiligingshoofd is nog niet veroordeeld door de rechter. Voor het belemmeren van de rechtsgang kan Sullivan een celstraf krijgen van maximaal 5 jaar en voor het opzettelijk verzwijgen van een misdrijf maximaal 3 jaar celstraf. Het voormalig beveiligingshoofd is op borgtocht vrij en mag zijn veroordeling in vrijheid afwachten. Deze wordt op een latere datum vastgesteld.

In november 2016 heeft er een hack plaatsgevonden bij Uber, waarbij de gegevens van 57 miljoen klanten en bestuurders werden gestolen. De hackers kwamen aan de gegevens via een repository op GitHub, die door Uber-technici werd gebruikt. Via logingegevens konden de hackers bij de data die op een Amazon Web Services-account stond. Pas een jaar na het incident trad Uber naar buiten over het datalek.

Sullivan heeft geprobeerd om het datalek te verbergen voor de Amerikaanse marktautoriteit FTC en heeft stappen ondernomen om te voorkomen dat de hackers werden gepakt. De aanklagers in de zaak zeiden in 2020 dat het toenmalige beveiligingshoofd de hackers 100.000 dollar in bitcoin liet betalen en hen geheimhoudingsverklaringen liet ondertekenen, die ten onrechte verklaarden dat ze geen gegevens hadden gestolen.

Verder wordt Sullivan beschuldigd van het achterhouden van informatie voor Uber-functionarissen die de inbraak hadden kunnen melden bij de FTC. De marktautoriteit ging de gegevensbeveiliging van het bedrijf vaker beoordelen na een hack in 2014, waarbij criminelen toegang kregen tot de gegevens van 50.000 Uber-klanten.

Door Loïs Franx

Redacteur

Feedback • 06-10-2022 17:39 13

06-10-2022 • 17:39

13

Lees meer

Uber-securitytopman die datalek uit 2016 verzweeg, hoeft de gevangenis niet in
Uber-securitytopman die datalek uit 2016 verzweeg, hoeft de gevangenis niet in Nieuws van 5 mei 2023
Gegevens van 296.000 Toyota-klanten uitgelekt via websitebroncode op GitHub
Gegevens van 296.000 Toyota-klanten uitgelekt via websitebroncode op GitHub Nieuws van 11 oktober 2022
Uber gebruikte aangepaste app om Nederlands onderzoek naar UberPOP te frustreren
Uber gebruikte aangepaste app om Nederlands onderzoek naar UberPOP te frustreren Nieuws van 11 juli 2022
Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek - update
Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek - update Nieuws van 27 november 2018
Uber heeft een groot datalek stilgehouden en zou de hackers hebben betaald
Uber heeft een groot datalek stilgehouden en zou de hackers hebben betaald Nieuws van 22 november 2017
Meer producten en artikelen
Politiek en recht Datalek Hack Rechtszaak Uber Verenigde staten

Reacties (13)

-Moderatie-faq
13
13
10
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
FrankHe 6 oktober 2022 17:54
Het is best een ernstig vergrijp: "Sullivan heeft geprobeerd om het datalek te verbergen voor de Amerikaanse marktautoriteit FTC en heeft stappen ondernomen om te voorkomen dat de hackers werden gepakt." Dus in het beste geval gaat de man voor in totaal acht jaar, 5 + 3, de cel in? Dat lijkt mij op zich wel een passende straf voor dergelijk handelen.
kftnl @FrankHe7 oktober 2022 06:36
Het is vreselijk dom. Hij heeft in samenspraak met anderen officiele documenten gemaakt met als doel de autoriteiten te misleiden. Je ziet het vaker bij bedrijven (ook op kleine schaal) en vaak gaat het goed, maar als je gepakt wordt zijn de consequenties voor het plegen van fraude snoeihard.

Bij bedrijven gaat het al gauw om miljoenen en dan kun je voor de rechter beter op straat iemand beroven dan dit doen. Ook in Nederland heb je het over stevige straffen voor fraude.

Dat gezegd hebbende vind ik 8 jaar veel te veel straf. Waarschijnlijk heeft hij geen strafblad, en is er een hoop naïviteit bij geweest dat hij dit deed. Een taakstraf en stevige boete zou op iemand als dit al zijn carriere beëindigen. Maak er een jaar straf van als waarschuwing. Maar 8 jaar cel daar verwoest je iemands leven mee, ik vind dat je daar terughoudend mee moet zijn.
Neoldian @kftnl7 oktober 2022 08:37
Echt? We praten hier vermoedelijk over een hoog opgeleid persoon, waarvan je mag verwachten dat ie wel weet hoe de wereld werkt. Als het nu alleen was gebleven bij het niet melden, dan had ik dat kunnen snappen (angst voor zijn baan, carriere, etc). Nog steeds niet goed natuurlijk.
Maar vervolgens zeer bewust handelen door documenten op te stellen, te laten tekenen e.d. om dit maar onder het tapijt te houden... nee, dat is niet naief, dat is gewoon arrogant.
Nog even los van de mogelijke consequenties voor de mensen wiens data maar weer eens op straat ligt, is dit soort handelen een enorme aantasting van de maatschappelijke moraal. Dit soort witte boorden criminaliteit zou veel zwaarder bestraft moeten worden. Ik vind 8 jaar te weinig. Dit is geen scriptkiddie die stoer denkt te doen door zijn digitale spierballen te laten zien. Moet je ook aanpakken, maar dat kan ik nog als naief zien. Een volwassen man met een volwassen carriere zou gewoon veel beter moeten weten. Juist dit soort mensen houdt die verrotte bedrijfsculturen in stand.
protoss warrior @kftnl7 oktober 2022 14:05
Tenzij ik het artikel verkeerd lees heeft hij de hackers 100k in bitcoin betaald om ze een NDA te laten tekenen hierover, dan weet je echt wel wat je aan het doen bent en is wat mij betreft 8 jaar te weinig. Als hij letterlijk alleen het niet had doorgegeven binnen de organisatie en naar de juiste instanties zou je nog onwetendheid kunnen gebruiken als excuus.
RobbieB @FrankHe6 oktober 2022 17:59
Ik vraag me af in hoeverre deze persoon als ‘Fall Guy’ neergezet wordt, terwijl het waarschijnlijk de bedrijfscultuur is geweest die dit soort gedrag heeft aangejaagd.

Ook lekker makkelijk voor de directie van Uber: wij wisten van niks, het was allemaal zijn schuld…
Renoir @RobbieB6 oktober 2022 18:06
Dan was het een slecht hoofd beveiliging. Hij krijgt vast genoeg betaald om een goed hoofd beveiliging te zijn. Als je je dan gedwongen voelt iets strafbaars te doen kan je best je mond opendoen of je baan opzeggen.
kodak
@RobbieB6 oktober 2022 20:28
Je suggestie klinkt eerder lekker makkelijk.

Een rechtbank, opsporing en openbaar ministerie, die allemaal nodig zijn om recht te doen, zijn geen onderdeel van die bedrijfscultuur. Terwijl je niet even kan stellen dat die het allemaal maar fout hebben omdat er ergens een bedrijfscultuur zou zijn om zich niet aan de wet te houden.

Ook speelt een verdachte niet zomaar met die bedrijfscultuur mee. Want anders suggereer je dat die zich ook laat slachtofferen alsof die bedrijfscultuur en dus anderen beschermen belangrijker is.

En de verdachte was als hoofd van de beveiliging practisch onderdeel van de directie, met verantwoordelijkheid over het wel of niet melden, niet een of andere willekeurige medewerker. Dus je kan ook die verantwoordelijkheid en conclusie dat de verdachte met opzet iets onder verantwoordelijkheid niet gemeld heeft zomaar in twijfel trekken.

Waarop baseer je nu dat er hier sprake zou zijn van slachtofferen? Want een reden kunnen verzinnen dat het sommige mensen uit kan komen is niet zomaar genoeg om er vanuit te gaan.
thomas_n 6 oktober 2022 17:47
Met alles dat er de laatste jaren over de bedrijfscultuur van Uber naar buiten komt, lijkt het me toch een bedrijf om als klant ver bij vandaan te blijven.
RobbieB @thomas_n6 oktober 2022 17:53
Tja, dat zou je ook kunnen zeggen over Tata Steel, Exxon, Shell, alle sigarettenfabrikanten, etc.

Was het maar zo eenvoudig als je hierboven stelt.
thomas_n @RobbieB6 oktober 2022 17:57
Dat het onmogelijk is om alle nare bedrijven te vermijden, is geen reden niet te proberen er bij zoveel mogelijk (of zelfs maar enkele) uit de buurt te blijven. Ander zou het streven naar perfectie je weerhouden iets goeds te doen.
kodak
@thomas_n6 oktober 2022 19:37
Je kan je ook afvragen of dit komt door de personen die er werken. Zo werkte Joseph Sullivan eerst jaren als Chief Security Officer bij Facebook. Deze veroordeling zou dan toch wel een reden kunnen zijn om na te gaan hij daar dezelfde houding had.

[Reactie gewijzigd door kodak op 27 juli 2024 09:59]

Oon @thomas_n7 oktober 2022 03:15
Vrijwel ieder bedrijf op de wereld is vatbaar voor hacks door misbruik van toegang van een medewerker, dan mag je bijna ieder bedrijf op de wereld vermijden.

Realistischer is om als gebruiker te zorgen dat je altijd een uniek wachtwoord maakt met een password manager, geen gedateerde en onveilige methoden zoals veiligheidsvragen gebruikt of daar ook een willekeurig gegenereerd wachtwoord als antwoord invult, en waar mogelijk neppe of aangepaste persoonsgegevens gebruikt.

Focussen op vermijden van dit soort bedrijven is prima, maar realiseer je dan wel dat 'dit soort' vrijwel alle bedrijven beschrijft.
mjtdevries @Oon7 oktober 2022 10:24
Zijn opmerking gaat uiteraard niet over het feit dat Uber gehacked was, maar over de wijze waarop ze vervolgens met die hack zijn om gegaan.

Hackers betalen om ze te laten vertellen dat ze geen data hebben gestolen is nou niet bepaald iets dat je bij bijna ieder bedrijf op de wereld hoort.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq