Окръжният съдия на САЩ Уилям Орек осъди Съливан на три години пробация, цитирайки важната му работа в миналото за защита на хората от вида престъпления, които по-късно прикри. Той също така каза, че стъпките на Съливан са успели да предотвратят разкриването на откраднатите данни.
Аурик каза, че смята, че бившият главен изпълнителен директор на Uber Травис Каланик е също толкова отговорен за това, което смята за сериозно престъпление, и се чудеше на глас защо Каланик не е бил обвинен. Съдията също каза, че е трогнат от безпрецедентния характер на случая, като предупреди, че извършителите ще бъдат хвърлени в затвора в бъдеще, дори и да са папата.
Присъдата на Съливан шокира много професионалисти по сигурността, много от които видяха Съливан, бивш федерален прокурор за киберпрестъпления, като лидер в индустрията, който също работи в обществен интерес като главен служител по сигурността във Facebook, Uber и Cloudflare.
Те също така критикуваха правителството за криминализиране на съмнителната разпоредба за плащане на изнудвачи, когато практиката стана рутинна в американски компании, засегнати от ransomware. ФБР каза, че няма да таксува онези, които одобряват плащания, които не отиват към санкционирани банди за съвместна работа с руските власти или за насочване към критична инфраструктура.
Повече от 180 писма са изпратени до съдията, в които се възхвалява Съливан и се иска той да бъде освободен от затвора, за да продължи да помага на защитници и жертви на пропуски в сигурността. Едно от писмата е подписано от 40 настоящи или бивши шефове по сигурността или главни служители по сигурността на информацията.
Но прокурорите поискаха 15 месеца затвор с аргумента, че толкова много хора са се събрали в подкрепа на Съливан, защото той е богат и с добри връзки, и че справедливостта изисква тези обвиняеми да бъдат третирани по същия начин като бедните изгнаници.
Съливан „има безупречна история. Той е уважаван в своята общност. Той е новатор в своята област“, пише американската прокуратура в Сан Франциско в съобщението за присъдата. Но когато му се даде възможност да избира между законопослушен и законопослушен, той избра себе си. Дори по-лошо, ответникът Съливан приоритизира своите интереси и интересите на Uber пред интересите на десетките милиони потребители и пътници на Uber, които са се доверили на компанията с личната си информация.
И двете страни казаха, че предпочитаният от тях резултат би спомогнал за укрепване на сътрудничеството между американски служители и усилията за частна сигурност, приоритет за администрацията на Байдън, тъй като престъпното хакване става все по-усъвършенствано и все по-вплетено с интересите на чужди правителства.
Кирстен Тод, която наскоро подаде оставка като началник на персонала във Федералната агенция за киберсигурност и сигурност на инфраструктурата, писа на съдията, че висши ръководители са я предупредили, че решението ще „направи невъзможно наемането на умни хора като CISO и организации на гражданското общество, ако бъдат в затвора е на масата — и ще доведе до упадък на индустрията.
На трибуната Орек каза, че съобщенията, в които други ръководители казват, че се страхуват от съдебно преследване, показват, че авторите не са разбрали фактите по случая. Той каза, че Съливан умишлено е измамил правителството, причинявайки реална вреда на FTC и обществеността.
Говорейки кратко и емоционално преди присъдата, Съливан пое отговорност и се извини за това, че е навредил на семейството, приятелите си и на „благородната професия“ на киберсигурността.
„Дадох лош пример“, каза Съливан, гласът му секна. „Ние сме там, за да бъдем шампиони на клиента, а вие се провалихте в този случай.“
Позовавайки се на писмата в собствения си меморандум, адвокатите на Съливан изброиха няколко добри дела, като създаването на екип за доверие и безопасност на eBay и усилията на Facebook за безопасност на децата, които неговият наследник Алекс Стамос приписва на предоставянето на три четвърти от всички известия до National. Центърът за изчезнали и експлоатирани деца през 2021 г.
пише Стамос, настоящ директор на Станфордската интернет обсерватория.
Наказателното дело срещу Съливан започна, когато хакер анонимно изпрати имейл до Uber, описващ пропуск в сигурността, който позволи на него и партньора му да изтеглят данни от един от складовете на Amazon на компанията.
Оказва се, че те са използвали измамен цифров ключ, оставен разкрит от Uber, за да влязат в акаунт в Amazon, където са намерили и извлекли некриптирано архивиране на данни за повече от 50 милиона водачи на Uber и 600 000 водачи.
Екипът на Съливан ги насочи към програмата за награди на Uber и отбеляза, че най-високата първоначална вноска е 10 000 долара. Хакерите казаха, че ще им трябват шест номера и заплашиха да разкрият данните.
Преговорите завършиха с плащане на 100 000 долара и обещание от страна на хакерите, че са унищожили данните и няма да разкриват какво са направили. Въпреки че прокурорите го нарекоха прикриване, свидетелските показания показаха, че служителите на Съливан са използвали процеса, за да получат доказателства, които да ги отведат до истинската самоличност на извършителите, което според тях е необходим лост, за да ги държат на думата си. По-късно двамата бяха арестувани и се признаха за виновни по обвиненията за хакване, а единият от тях свидетелства за обвинението в процеса срещу Съливан.
Обвинението за възпрепятстване черпи сила от факта, че по това време Uber беше към края на разследването на FTC след голямо нарушение през 2014 г., което се случи преди Съливан да се присъедини към компанията.
Докато ръководеше отговора на хаковете, Съливан информира няколко други в компанията, включително адвокат от екипа на Съливан, Крейг Кларк. Доказателствата показват, че Съливан е казал на Каланик, главния изпълнителен директор на Uber по това време, и че Каланик е одобрил стратегията на Съливан. Главният адвокат по поверителността на компанията, който наблюдаваше отговора на Федералната търговска комисия, беше информиран, а ръководителят на комуникационния екип на компанията също имаше подробности.
Кларк, юридическото лице, назначено за злоупотребите, получи имунитет да свидетелства срещу бившия си шеф. При кръстосан разпит той призна, че е казал на екипа, че атаката няма да бъде открита, ако хакерите бъдат идентифицирани, съгласят се да изтрият взетото и успеят да убедят компанията, че не пускат данните повече, всичко това в крайна сметка се случи .
Прокурорите бяха оставени да оспорват „дали Джо Съливан може да е повярвал в това“, както беше казано в заключителните аргументи. В коментарите си в четвъртък Съливан каза, че е трябвало да получи външно правно становище, вместо да се чувства удобно да получи вътрешно покритие, за да избегне разкриването.
След като Каланик беше уволнен от компанията заради несвързани скандали, неговият наследник Дара Хосровшахи научи за пробива. Прокурорите казаха, че Съливан го описва като рутинни плащания на награди за грешки, освобождаващи от един имейл сумата на премията и факта, че хакерите са получили некриптирани данни, включително телефонни номера, на десетки милиони пътници. След като последващо разследване разкри цялата история, Хосровшахи свидетелства, че Съливан е бил уволнен, защото не му е казал повече по-рано.
Нетърпелива да покаже, че работи в нова епоха, компанията помогна на прокуратурата на САЩ да изгради дело срещу Съливан. Прокурорите от своя страна безуспешно оказват натиск върху Съливан да замеси Каланик, което би било много по-голяма награда, но не беше прокълнато от оцелелите писмени доказателства, според хора, запознати с процеса.
„Тотален фен на Twitter. Нежно очарователен почитател на бекона. Сертифициран специалист по интернет.“
More Stories
Приходите от Microsoft Cloud нарастват заради бума на AI, но слабата перспектива тежи върху акциите
Реформи и спестявания – начинът за овладяване на тревожния бюджетен дефицит
Институт за пазарна икономика: Бъдещото управление на страната ще трябва да вземе непопулярни решения