.
Joe Sullivan não cumprirá nenhuma pena séria atrás das grades por seu papel em encobrir a violação de segurança do computador do Uber em 2016 e tentar passar o pagamento de um resgate como uma recompensa por bug.
Um juiz de São Francisco sentenciou na quinta-feira o ex-chefe de segurança da fabricante de aplicativos a três anos de liberdade condicional mais 200 horas de serviço comunitário, apesar dos apelos dos promotores para jogar Sullivan no refrigerador.
No final do mês passado, autoridades federais instaram o juiz a condenar Sullivan a 15 meses de prisão por encobrir o roubo de dados dos sistemas de TI do Uber e mentir para os vigilantes sobre a invasão.
“Os líderes corporativos são chamados a fazer a coisa certa, mesmo quando for embaraçoso, mesmo quando for ruim para os resultados da empresa”, disseram eles. [PDF]. “Ninguém, nem as empresas nem os executivos que as dirigem, está acima da lei.”
Sullivan, que anteriormente trabalhou como promotor de crimes cibernéticos para o Departamento de Justiça dos EUA, enviou uma carta [PDF] ao juiz, no qual disse que “lamenta profundamente” suas ações em 2016 e pediu clemência, para “me dar uma chance de usar o que aconteceu aqui para retribuir à minha comunidade”.
Em outubro, um júri considerou Sullivan culpado de dois crimes relacionados a encobrir o roubo de motoristas da Uber e informações pessoais dos clientes. A condenação ocorreu antes cobranças de obstrução da justiça e prisão indevida, ou ocultação de um crime da aplicação da lei.
As acusações e a sentença de hoje decorrem de uma invasão em 2016, durante a qual bandidos invadiram a rede de desenvolvedores de aplicativos de compartilhamento de viagens e entrega de comida e roubaram 57 milhões de registros de clientes e motoristas. Sullivan e Craig Clark, então diretor jurídico de segurança e aplicação da lei do Uber, foram demitidos como resultado.
Travis Kalanick, que era CEO da Uber na época do roubo, não foi indiciado pela invasão, embora supostamente discutido com Sullivan uma estratégia para lidar com a violação. Hoje no tribunal, o juiz William Orrick supostamente disse ele acredita que Kalanick é “tão culpado” quanto Sullivan pelo encobrimento.
Hoje em dia, Kalanick vale $ 4 bilhõesde acordo com a Forbes, e atua como CEO da CloudKitchens, uma empresa imobiliária que fornece cozinhas para restaurantes somente de entrega, que tem levantou dinheiro do Fundo de Investimento Público da Arábia Saudita e da Microsoft.
Sullivan, de acordo com documentos judiciais [PDF], soube do roubo em novembro de 2016, cerca de 10 dias depois de prestar depoimento à Comissão Federal de Comércio dos EUA sobre um ataque cibernético de 2014 ao Uber. Preocupado com a possibilidade de outra violação de segurança de dados prejudicar a empresa, Sullivan tentou encobrir o roubo de 2016.
“A partir daí, Sullivan se envolveu em um esquema destinado a garantir que a violação de dados não se tornasse de conhecimento público, fosse ocultada e não fosse divulgada à FTC”, diziam os documentos do tribunal.
Esse esquema envolvia tentar repassar um total de $ 100.000 em pagamentos de resgate, feitos aos ladrões para recuperar os dados roubados, como um prêmio de recompensa por bug. Na época, a maior recompensa oferecida pela Uber para encontrar e divulgar vulnerabilidades era de US$ 10.000.
Ambos os ladrões, Brandon Glover e Vasile Mereacre, confessou-se culpado em 2019. Eles ainda não foram condenados, e Mereacre testemunhou no julgamento de Sullivan no outono passado.
O Uber, por sua vez, passou a sofrer diversas mais roubo de dados fiascos. ®
.
