Ubers ehemaliger Sicherheitschef wurde verurteilt, weil er 2016 eine Datenpanne bei dem Mitfahrriesen vertuscht, Details vor US-Regulierungsbehörden versteckt und zwei Hacker als Gegenleistung für ihre Diskretion bezahlt hatte.
Es wird angenommen, dass der Prozess, der in Cybersicherheitskreisen genau beobachtet wird, die erste strafrechtliche Verfolgung eines Unternehmensleiters wegen des Umgangs mit einer Datenschutzverletzung ist.
Joe Sullivan, der Uber 2017 verlassen hatte, wurde am Dienstag von einer Jury in San Francisco für schuldig befunden, eine Untersuchung der Federal Trade Commission behindert zu haben. Zum Zeitpunkt des Verstoßes im Jahr 2016 hatte die Regulierungsbehörde den Autobuchungsdienst wegen einer anderen Cybersicherheitslücke untersucht, die zwei Jahre zuvor aufgetreten war.
Die Geschworenen verurteilten Sullivan auch wegen eines zweiten Anklagepunkts im Zusammenhang damit, dass er Kenntnis von dem Verstoß von 2016 hatte, diesen aber den zuständigen Regierungsbehörden nicht meldete.
Der Vorfall wurde schließlich 2017 öffentlich, als Dara Khosrowshahi, der gerade das Amt des Chief Executive übernommen hatte, Einzelheiten des Angriffs enthüllte.
Die Staatsanwälte sagten, Sullivan habe Schritte unternommen, um sicherzustellen, dass die bei dem Angriff kompromittierten Daten nicht preisgegeben würden. Laut Gerichtsdokumenten wandten sich zwei Hacker an Sullivans Team, um Uber über eine Sicherheitslücke zu informieren, die persönliche Informationen von fast 60 Millionen Fahrern und Mitfahrern auf der Plattform offenlegte.
Die Hacker, von denen einer während des Prozesses aussagte, lehnten das Angebot des Unternehmens von 10.000 US-Dollar ab – die maximale Auszahlung im Rahmen der „Bug Bounty“-Richtlinie von Uber, die die private Offenlegung von Sicherheitslücken fördern soll – und drohten, die Daten freizugeben, wenn eine höhere Gebühr nicht erhoben würde bezahlt.
Die Parteien handelten eine Zahlung von 100.000 US-Dollar aus, die die Unterzeichnung einer Geheimhaltungsvereinbarung und die Verpflichtung zur Löschung aller erhaltenen Benutzerdaten erforderte. Die beiden Hacker bekannten sich später des Angriffs schuldig.
Anwälte von Sullivan verteidigten sein Vorgehen vor Gericht und sagten, er habe zum Schutz der Benutzer gehandelt und seine Vorgesetzten – einschließlich des damaligen CEO Travis Kalanick – über die Datenschutzverletzung informiert.
Das Ergebnis wird Schockwellen durch die Cybersicherheitsbranche senden und die Frage aufwerfen, wer die Verantwortung übernehmen sollte, wenn schädliche Sicherheitsverletzungen auftreten.
„Dieses Urteil ist unangebracht“, sagte Katie Moussouris, Gründerin und Geschäftsführerin von Luta Security, die sich auf die Verwaltung von „Bug-Bounty“-Programmen für große Organisationen spezialisiert hat. „Die Rolle des Chief Security Officer kann nicht zum Chief Opfer Officer werden, wenn wir wollen, dass diese Rollen effektiv sind.“
Uber reagierte nicht auf Anfragen nach Kommentaren.
Sullivan, ein ehemaliger Staatsanwalt, der sich auf Cyberkriminalität spezialisiert hat, hat zuvor auch bei Facebook und Cloudflare gearbeitet.
Ein Termin für seine Verurteilung steht noch nicht fest. Ihm drohen bis zu acht Jahre Haft.