Bộ Tư pháp Hoa Kỳ (The Department of Justice) đã truy tố cựu Giám đốc an ninh của ứng dụng gọi xe Uber với cáo buộc che đậy một vụ xâm phạm dữ liệu ảnh hưởng đến hơn 50 triệu người người dùng.
Các công tố viên cho biết, mặc dù Uber và Giám đốc an ninh khi đó đã biết về vụ tấn công này vào năm 2016, nhưng công ty đã không tiết lộ công khai cho đến một năm sau đó.
Dữ liệu của 57 triệu tài xế và khách đi xe bị lộ
Các quan chức cho biết, cáo buộc che đậy dành cho Joe Sullivan, người từng là giám đốc an ninh của Uber từ tháng 4/2015 - tháng 11/2017. Vào tháng 10/2016, Uber đã bị tin tặc truy cập dữ liệu trái phép. Hai tin tặc Brandon Charles Glover và Vasile Mereacre đã bị kết án vào tháng 10/2019, hai người này cũng đứng sau các cuộc tấn công mạng nhằm vào trang web học tập trực tuyến Lynda.
Các tin tặc đã đánh cắp dữ liệu của 57 triệu tài xế và người đi xe, bao gồm tên, địa chỉ email và số bằng lái xe, sau đó chúng đã đồng ý xóa các dữ liệu này để được Uber trả tiền.
Thay vì tiết lộ công khai vụ tấn công nói trên - điều mà các công ty bắt buộc phải thực hiện theo luật lệ ở một số bang như California, thì Uber lại trả cho tin tặc 100.000 USD và yêu cầu chúng ký một thỏa thuận không tiết lộ.
Sullivan cho biết, khoản thanh toán này là tiền thưởng thông báo lỗi mà các công ty thường trả cho các nhà nghiên cứu sau khi phát hiện ra lỗi bảo mật của họ. Các công tố viên cho biết khoản thanh toán này chỉ nhằm mục đích che đậy hơn là tiền thưởng.
Phó đặc vụ FBI Craig Fair cho biết trong một tuyên bố: "Mặc dù đây là một trường hợp điển hình về nỗ lực kéo dài nhằm qua mặt các cơ quan thực thi pháp luật, nhưng chúng tôi hy vọng các công ty không đi vào vết xe đổ của Uber. Đừng giúp tội phạm tin tặc che đậy dấu vết của chúng. Đừng làm cho vấn đề trở nên tồi tệ hơn đối với khách hàng của công ty và không che đậy những nỗ lực phạm tội nhằm đánh cắp dữ liệu cá nhân của mọi người".
Vụ tấn công chỉ được công khai sau một năm, khi cựu Giám đốc điều hành Uber Travis Kalanick bị buộc thôi việc và thay thế bằng Dara Khosrowshahi. Sullivan đã thông báo tóm tắt cho CEO mới về cuộc tấn công mạng, chi tiết về dữ liệu mà tin tặc thu được và thời điểm công ty trả tiền cho tin tặc.
Uber đã sa thải Sullivan sau khi vụ việc được tiết lộ công khai và trả 148 triệu USD để giải quyết vụ xâm phạm dữ liệu này.
Đối mặt với án tù tối đa 5 năm
Sullivan đã bị buộc tội cản trở công lý và phải đối mặt với án tù tối đa là 5 năm. Người này hiện là Giám đốc An ninh của Cloudflare.
Phát ngôn viên của Sullivan, Bradford Williams cho biết trong một tuyên bố: "Vụ việc xâm phạm dữ liệu cá nhân tại Uber đã được một nhóm lớn, đa chức năng bao gồm một số chuyên gia bảo mật hàng đầu thế giới, có cả ông Sullivan tập trung điều tra. Nếu không nhờ những nỗ lực của Sullivan và nhóm của ông ấy, rất có thể những cá nhân chịu trách nhiệm cho vụ việc sẽ không bao giờ được tìm thấy".
"Ngay từ đầu, Sullivan và nhóm của ông ta đã hợp tác chặt chẽ với các nhóm pháp chế, truyền thông và các nhóm liên quan khác thuộc Uber, các hoạt động này phù hợp với các chính sách đã được thể hiện bằng văn bản của công ty. Các chính sách đó đã thể hiện rõ rằng, bộ phận pháp chế của Uber - chứ không phải Sullivan hay nhóm của ông ta - chịu trách nhiệm quyết định xem vấn đề nào đó có nên được tiết lộ hay không và nếu tiết lộ thì tiết lộ cho ai".
Trong các cuộc trò chuyện riêng, Sullivan nói với nhóm an ninh của Uber rằng họ cần phải "đảm bảo việc các thông tin về vi phạm dữ liệu sẽ không bị lọt ra ngoài", theo tài liệu của tòa án. Vụ vi phạm dữ liệu cũng bị Uber giấu kín với Ủy ban Thương mại Liên bang (FTC), cơ quan đã điều tra Uber về vụ một vi phạm dữ liệu khác vào năm 2014.
Uber cho biết trong một tuyên bố: "Chúng tôi sẽ tiếp tục hợp tác đầy đủ với các cuộc điều tra của Bộ Tư pháp. Quyết định của Uber vào năm 2017 trong việc tiết lộ sự cố không chỉ là đúng đắn mà nó còn thể hiện các nguyên tắc mà chúng tôi đang điều hành doanh nghiệp hiện nay: minh bạch, liêm chính và trách nhiệm giải trình."
Khoản tiền thưởng lỗi cho tin tặc của Uber lớn hơn so với cách thông thường mà công ty thưởng cho các nhà nghiên cứu bảo mật. Chương trình tiền thưởng lỗi của Uber có giới hạn 10.000 USD và họ chưa bao giờ trả bất kỳ khoản nào gần 100.000 USD, theo tài liệu của tòa án.
Ngoài ra, chính sách tiền thưởng lỗi của chính công ty cũng quy định rằng công ty sẽ không trả tiền cho việc trộm dữ liệu từ các máy chủ của mình.
Theo Security Daily, năm 2019, Bộ Tư pháp Hoa Kỳ đã phát hành một thông cáo báo chí cho biết, sau khi tải xuống dữ liệu, bộ đôi Brandon Charles Glover (26 tuổi), người Florida và Vasile Mereacre (23 tuổi), người Toronto đã liên lạc với các công ty liên quan để báo cáo các lỗ hổng bảo mật và yêu cầu một khoản tiền bồi thường nhằm đổi lấy việc xóa các dữ liệu bảo mật.
Nội dung email tin tặc gửi tới các công ty nạn nhân có đoạn như sau: "Tôi đã truy cập được vào hệ thống sao lưu của công ty, tôi và nhóm của tôi muốn nhận được phần thưởng lớn cho điều này".
Các tin tặc cũng nhấn mạnh nhiều lần về việc yêu cầu một khoản thanh toán lớn với lý do là đã "làm việc rất vất vả" để "giúp" công ty tìm ra lỗ hổng.
Các tin tặc này đã truy cập và tải xuống thông tin cá nhân của 57 triệu tài xế Uber (cả xe máy và ô tô). Được biết, Uber đã trả cho hai tin tặc này khoản tiền lên tới 100.000 USD bitcoin nhằm che giấu vụ vi phạm.
Bản cáo trạng có nêu rõ rằng những kẻ này đã sử dụng tên giả để liên lạc với các công ty. Đồng thời, trong một số trường hợp, chúng còn nêu dẫn chứng về việc các tập đoàn/ công ty khác đã chi trả tiền để chúng tìm ra các lỗ hổng bảo mật.
Bên cạnh đó, để tăng tính thuyết phục, những kẻ này sẽ gửi kèm cho các công ty những mẫu dữ liệu để xác minh tính xác thực của dữ liệu.