O ex-CSO da Uber, Joe Sullivan, foi condenado na última quarta-feira por acusações decorrentes de um encobrimento de uma violação de dados de 2016 na gigante do compartilhamento de viagens.

O júri federal considerou Sullivan culpado de obstrução de procedimentos da Comissão Federal de Comércio (FTC) e detenção de um crime relacionado à tentativa de ocultar a violação do Uber e pagar os hackers por meio de um prêmio de recompensa por bugs.

A violação ocorreu quando dois hackers, Brandon Charles Glover e Vasile Mereacre, usaram credenciais roubadas e acessaram e baixaram ilegalmente um monte de dados de um bucket do Amazon S3 que incluía registros de aproximadamente 57 milhões de usuários do Uber e 600.000 números de carteira de motorista.

Na época da violação de 2016, a FTC estava investigando o Uber sobre um ataque separado à empresa em 2014 que seguiu uma trilha semelhante; os agentes de ameaças usaram uma chave de acesso da AWS que foi exposta em um repositório público do GitHub.

Eles obtiveram registros de aproximadamente 100.000 motoristas da Uber, incluindo números de carteira de motorista, endereços físicos e endereços de e-mail.

Sullivan, que atualmente é CSO da Cloudflare e que trabalhou anteriormente como promotor federal no Departamento de Justiça (DOJ), ingressou na Uber na primavera de 2015 como CSO.

De acordo com o DOJ, ele foi encarregado de liderar a resposta da Uber à violação de 2014 e ao inquérito da FTC.

Em 4 de novembro de 2016, Sullivan testemunhou sob juramento à FTC sobre as práticas de segurança da Uber, especificamente o esforço da empresa para proteger dados confidenciais armazenados em buckets AWS S3.