Onder andere in 2016 hebben cybercriminelen toegang gehad tot het netwerk van Uber. Daarbij is de data van 57 miljoen personen buitgemaakt. De toenmalige CSO heeft dat lek niet gemeld. Wat Joe Sullivan wel deed was instemmen met een deal met de criminelen.
Zwijgen
In ruil voor $100.000 in cryptogeld beloofden twee toen onbekende personen de data te vernietigen en er verder over te zwijgen. Uber zweeg ook en dat breekt Sullivan op. Hij wordt namelijk sinds najaar 2020 beschuldigd van het tegenwerken van justitie en liegen. Justitie is namelijk achter namen van de twee cyberinbrekers gekomen en die hebben uit deal uit de doeken gedaan.
Wire Fraud
De deal is via elektronische weg tot stand gekomen. Dat levert nu nog een probleem op voor Sullivan. Hij wordt nu ook beschuldigd van “wire fraud”. Dat is een typisch Amerikaans kapstok begrip. Om precies te zijn gaat het om drie handelingen die vallen onder “wire fraud”. Voor elke misstap is een boete tot $250.000 en een celstraf tot 20 jaar mogelijk. Wat die drie zijn is voor dit verhaal verder weinig relevant.
Wat deze ontwikkelingen rond een iets te makkelijke cyberinbraak vooral interessant maakt zijn deze punten.
- de CSO van Uber is in het vizier gekomen van justitie, niet de CISO;
- het zijn niet aandeelhouders, rijders of klanten, het is justitie dat de acties inzet;
- er is zwijggeld betaald, zonder dat het bekend is gemaakt;
- de manier waarop de NDA is misbruikt is bijzonder, maar komt helaas wel vaker voor;
- niet voor deze zaak, maar wel voor de actualiteit is er de obvious link met ransomware.
NDA en RD
De twee laatste punten verdienen enige uitleg. Een NDA is bedoeld om het uitlekken van bedrijfsgeheimen te voorkomen. Als dat wordt ingezet om de impact van criminele handelingen te verhullen wordt justitie gehinderd. Om die reden heeft Sullivan ook een plek in het verdachtenbankje.
Amerikaanse bedrijven misbruiken NDA’s vaker om Responsible Disclosures en het op andere manieren melden van IT problemen te verhinderen. Hoewel dat in deze zaak niet speelde, is het wel een punt van aandacht. NDA’s kunnen RD’s in de weg staan en juist daardoor criminelen vrij spel geven.
Ransomware
De link met ransomware heeft daar alles mee te maken. Uber heeft gedaan wat met ransomware aanvallen gebruikelijk is. Betalen en zwijgen over de impact. Normaal is dat wat de criminelen doen. Nu heeft het “slachtoffer” dat uit zich zelf voorgesteld en gedaan.
Volgens Amerikaanse berichten wordt dit een leerzame zaak voor ondernemers. Justitie neemt liegen over een datalek, zoals de CSO van Uber heeft gedaan, hoog op. Voor aandeelhouders en de SEC wordt het ook nog interessant. Want was dit het enige incident en kloppen de jaarstukken wel?
