Des accusations supplémentaires ont été ajoutées à l’acte d’accusation contre un ancien responsable de la sécurité d’Uber pour son implication présumée dans la dissimulation d’un piratage contre l’application de covoiturage en 2016.

La fraude par fil a rejoint la liste des accusations portées contre Joseph Sullivan, 52 ans, de Palo Alto, en Californie, pour sa prétendue dissimulation d’une attaque de 2016 qui a révélé 57 millions d’utilisateurs et 600 000 dossiers de conducteurs.

Les dernières accusations – prononcées dans un acte d’accusation de remplacement rendu par un grand jury fédéral – s’ajoutent aux accusations antérieures d’entrave à la justice et de « misprision d’un crime ».

Violation d’Uber

Des attaquants non autorisés ont eu accès aux données personnelles de 57 millions d’utilisateurs d’Uber et aux informations sur les permis de conduire d’environ 600 000 conducteurs en octobre 2016.

Les données sensibles ont été téléchargées à partir du compartiment de stockage d’un fournisseur de cloud tiers et accessibles en abusant des informations d’identification qu’un ingénieur Uber avait publiées par inadvertance sur un site Web de partage de code.

Selon les procureurs, Sullivan a conclu un accord avec des pirates informatiques pour garder le silence sur la violation et supprimer les données volées qu’ils détenaient en échange d’un paiement de 100 000 $ en bitcoins aux personnes qui refusaient de donner leur vrai nom.

Les deux individus impliqués ont par la suite été identifiés, arrêtés, inculpé et reconnu coupable d’attaques contre LinkedIn et Uber.

Prime de bogue rétrospective

Sullivan se serait conformé à une demande de paiement exorbitante tout en la déguisant en paiement de prime de bogue et en obligeant les pirates à faire de fausses déclarations dans le cadre d’accords de non-divulgation frauduleux.

Comme le souligne le ministère américain de la Justice, les primes de bogue existent pour stimuler la découverte et le signalement légitimes de problèmes de sécurité plutôt que pour couvrir l’échange de données compromises.

La loi californienne oblige les entreprises opérant dans l’État à informer les résidents des violations de données. Les allégations de fraude électronique découlent de la prétendue tentative de Sullivan de frauder les chauffeurs d’Uber en omettant de divulguer la violation de 2016.

Selon les procureurs, les accords de non-divulgation indiquaient à tort que les pirates n’avaient ni pris ni stocké les données d’Uber. En outre, Sullivan a envoyé un e-mail au directeur général d’Uber, alors récemment nommé, qui qualifiait l’affaire d' »incident de sécurité » de routine plutôt que d’une violation de données (plus grave).

« Lorsque des piratages comme celui-ci se produisent, la loi de l’État exige un avis aux victimes », a déclaré l’avocate américaine par intérim Stephanie Hinds dans un Déclaration du ministère américain de la Justice sur le dernier développement de l’affaire étroitement surveillée. « La loi fédérale exige également des réponses véridiques aux demandes officielles du gouvernement. L’acte d’accusation allègue que Sullivan n’a fait ni l’un ni l’autre.

« Nous alléguons que Sullivan a falsifié des documents pour éviter l’obligation d’informer les victimes et caché la gravité d’une grave violation de données à la FTC, le tout pour enrichir son entreprise », a ajouté Hinds.

Sullivan est accusé de trois chefs d’accusation de fraude électronique, d’entrave à la justice et de détournement d’un crime. Les accusations de fraude électronique entraînent une peine d’emprisonnement maximale plus élevée que les autres infractions.

La mise en accusation de Sullivan sur les nouvelles accusations n’a pas encore été programmée et aucun plaidoyer n’a été inscrit.

Ainsi, Uber – qui faisait déjà l’objet d’une enquête concernant une violation antérieure de 2014 au moment de la deuxième fuite de données similaire – n’a pas divulgué la violation de 2016 aux consommateurs ou aux régulateurs de la Federal Trade Commission des États-Unis jusqu’en novembre 2017, circonstances qui ont finalement conduit à censurer et 148 millions de dollars règlement des violations de données avec la FTC.

La violation de 2014 a conduit à l’exposition des noms et des données de plaque d’immatriculation de environ 100 000 chauffeurs.

TU POURRAIS AUSSI AIMER La sécurité bien faite : célébrer les victoires de l’infosec en 2021