Ex-CSO da Uber que ocultou vazamento de dados escapa da prisão... por pouco

Esconder o que há de mais vergonhoso para parecermos pessoas melhores é parte da natureza humana. Quando se trata de trabalho, isso se estende a esconder erros e deslizes de uma empresa e torcer para que ninguém perceba. Mas esta abordagem é um sinal de falta de profissionalismo e, quando chega o inevitável momento em que a verdade vem à tona, ela pode causar mais problemas a longo prazo. E foi exatamente isso o que aconteceu com Joe Sallivan, o antigo Oficial chefe de segurança (CSO) da empresa de mobilidade e delivery de comida Uber.

Em 4 de maio, Sullivan foi sentenciado a três anos de liberdade condicional por obstrução de justiça e delitos relacionados a ocultações do vazamento de dados da empresa em 2016. Neste vazamento, dois hackers ganharam acesso às informações pessoais (nomes, endereços de email e números de telefone) de 57 milhões de usuários e motoristas de Uber, incluindo a habilitação de aproximadamente 600.000 motoristas dos EUA. Vazamentos desta magnitude são raros, mas não incomuns. O que torna este caso particularmente interessante é o fato de essa ter sido a primeira vez em que o chefe de segurança uma empresa foi acusado criminalmente pelo mau tratamento de informações, com grandes chances de ser condenado.

A Uber deixou seus clientes e parceiros sem informação nenhuma sobre o vazamento por um ano inteiro. Este “segredo” não apenas custou à Uber 148 milhões em multas mas também, antes de tudo, privou clientes e motoristas do direito de tomar as medidas necessárias para se proteger contra o roubo de identidade, fraude e outros riscos que surgiram como resultado do mau uso de seus dados por hackers.

Outros acusados poderão acabar na cadeia, e isso inclui o Papa Francisco

Os promotores afirmaram que, se não fosse pela “sorte da chegada” da nova CEO da Uber, Dara Khosrowshahi, em agosto de 2017, é provável que Sullivan teria conseguido encobrir o ocorrido. “Há motivos para acreditar que as dezenas de milhares de vítimas do vazamento de 2016 jamais teriam tomado conhecimento sobre ele,” disseram.

Eles exigiram que Sullivan passasse um tempo na cadeia, 15 meses para ser mais específico. A eventual sentença de liberdade condicional pode parecer um tapa na cara diante de todo o ocorrido, mas o juiz William Orrick explicou que ele só conseguiu esta pena “mais leve” por ter sido o primeiro executivo de segurança da história condenado por ocultar e mentir sobre um vazamento de dados. Ele alertou que aqueles que não aprenderem a lição e cometerem o mesmo crime podem esperar um tratamento mais severo. Em suas palavras: “Se eu tiver um caso similar amanhã, o acusado irá para a prisão, mesmo que seja o Papa Francisco."

Para aqueles que não seguiram o caso de perto ou precisem refrescar a memória, segue um pequeno resumo dos eventos que levaram à condenação de Sullivan.

Tudo já começou mal

Sullivan entrou na Uber como o primeiro Oficial Chefe de Segurança em Abril de 2015 para lidar com os resquícios do vazamento de 2014 que expôs os sistemas online do Uber. A empresa provavelmente estava apostando todas as suas fichas em Sullivan com seu histórico de promotor federal, empregado do PayPal e do eBay e CSO do Facebook por 5 anos. Com a reputação da empresa detonada após o vazamento de 2014, a Uber esperava que Sullivan ajudaria a elevar as práticas de segurança e a imagem da empresa.

No entanto, um ano e meio após ter tomado posse de seu novo trabalho, Sullivan precisou enfrentar a sua própria crise de segurança. Em novembro de 2016, ele descobriu um novo vazamento que comprometia as informações pessoais de milhões de usuários e motoristas da Uber. O momento não poderia ser pior: o caso ocorreu apenas 10 dias após ele ter testemunhado ao FTC sobre o primeiro vazamento e as medidas de segurança implementadas desde então. Em seu depoimento, ele afirmou que a Uber havia criptografado dados e removido as chaves da conta do Amazon Web Services dos repositórios do GitHub, algumas das vulnerabilidades que levaram ao vazamento de 2014.

Isso não é verdade. O vazamento de 2016 ocorreu ”devido às mesmas práticas de segurança deficientes que levaram ao vazamento de dados de 2014," descobriram os investigadores posteriormente. Este fato, de acordo com os promotores, ficou claro para Sullivan ”quase imediatamente", já que ele é um oficial de segurança com bastante experiência. O problema é que Sullivan já havia descrito mal as práticas de criptografia da Uber e a extensão do acesso dos empregados aos dados em seu testemunho à FTC, incluindo afirmações feitas sob juramento. Por exemplo, Sullivan mentiu ao FTC sobre o fato de que o Uber parou de armazenar informações pessoais não criptografadas no Amazon Web Services (a plataforma de computação em nuvem da Amazon) após março de 2015, quando na verdade "informações pessoais não criptografadas ficaram no AWS até ao menos novembro de 2016, quando dois hackers roubaram uma imensa quantidade de dados."

Sullivan encarou uma escolha difícil: admitir o vazamento recente aos órgãos reguladores e arriscar a reputação da empresa, ou jogar tudo para baixo do tapete e esperar que ninguém descubra. Ele escolheu a última opção.

Encobrindo tudo: o dinheiro do resgate de dados foi disfarçado de gratificação

De acordo com o ex-advogado do Uber, Craig Clark, que testemunhou contra Sullivan ao ficar sabendo sobre o roubo dos dados pessoais de usuários, Sullivan criou um plano para ocultar o vazamento como uma “interação padrão com pesquisadores de segurança dentro do programa de recompensas por identificação de bugs da Uber.” Por mais que o pagamento da Uber dentro deste programa de recompensas fosse de 10.000 dólares pela identificação de um problema crítico na época, Sullivan ofereceu aos hackers, que ainda eram anônimos, a surpreendente quantia de 100.000 dólares, exigida pelos invasores. Sullivan então fechou um acordo com os hackers (que ainda não haviam revelado sua identidade real) para que assinassem um NDA em que prometeram não falar nada sobre o ocorrido.

Neste ponto, de acordo com o departamento de Justiça dos EUA, o ex chefe de segurança da Uber estava ocultando a verdade até mesmo do time jurídico da empresa. Enquanto a Uber estava em processo de solucionar as pendências do vazamento de 2014 com a FTC, Sullivan não disse nada sobre o novo vazamento para os próprios advogados da Uber, mas sim “exaltou o trabalho feito por ele e sua equipe para a segurança de dados.” Sullivan, no entanto, contestou esta versão dos eventos durante o julgamento, afirmando que o departamento jurídico da Uber e outros gerentes estavam cientes.

Se o CEO da Uber Travis Kalanick sabia sobre o ocorrido não se sabe… Mas o fato é que Kalanick não foi condenado por nada relacionado ao vazamento de dados. Ainda assim, ao sentenciar Sullivan, o juíz Orrick disse que o antigo CEO era “tão culpado quanto” Sullivan.

A verdade vem à tona

Dizem que a verdade sempre vem à tona, e isso é verdade no caso da Uber. Após Dara Khosrowshahi ter sido nomeada nova CEO da Uber em agosto de 2017, Sullivan manteve o segredo ainda por algum tempo, afirmam os promotores. Eles disseram ainda que Sullivan mandou uma mensagem para Khosrowshahi dizendo que os hackers não tinham tido acesso a nenhum dado e tinham sido identificados antes do pagamento.

Mas o mundo dá voltas e, em novembro de 2017, Sullivan foi demitido e a Uber revelou publicamente o vazamento. Em uma declaração sobre o ocorrido, Khosrowshahi reconheceu que os hackers “baixaram arquivos” contendo informações de usuários e pediu desculpas por não notificar os afetados. No julgamento de Sullivan, os hackers (agora identificados) deram testemunho de que de fato assinaram um acordo de não revelação com a Uber usando seus nomes falsos e mentiram sobre não ter armazenado ou baixado nenhum dado.

Após a demissão de Sullivan, a Uber contratou uma nova equipe de segurança e jurou fazer todo o possível para prevenir este tipo de incidentes no futuro. Mas, por mais que tenha alterado suas práticas, a Uber ainda sofreu vários vazamentos de dados desde 2016, incluindo em Setembro de 2022, quando foi vítima do grupo de hackers Lapsus$.

As consequências: pessoais…

Para Sullivan, sua saída não tão graciosa da Uber não acabou com as suas perspectivas de carreira. 6 meses após ter sido demitido da Uber, Sullivan assumiu o cargo de oficial chefe de segurança do Cloudflare. Ele tirou uma licença do Cloudflare em julho de 2022 para se preparar para o julgamento e, de acordo com a sua página do LinkedIn, saiu da empresa em Outubro do mesmo ano, assim que o júri o considerou culpado por dois delitos relacionados ao encobrimento.

Em Janeiro de 2023, Sullivan foi nomeado CEO do Ukraine Friends, uma organização humanitária sem fins lucrativos. Em sua sentença, Sullivan reconheceu seus erros ao lidar com a situação. ”Eu deveria ter lutado por transparência e busquei assegurá-la em cada situação em que estive desde então. Aprendi a minha lição,” ele disse.

…e para a indústria

Este caso se tornou um marco para a indústria como um todo. Em primeiro lugar, ele deixa um recado claro de que o encobrimento de vazamentos de dados é uma das piores práticas possíveis. Além disso, pode impedir casos futuros (assim esperamos), mostrando que não vale a pena salvar a reputação de uma empresa às custas da segurança dos usuários.

Ao se deparar com a possibilidade de passar um tempo na prisão, chefes de segurança e outros executivos da área pensariam duas vezes antes de encobrir vazamentos de dados, principalmente quando a sua própria negligência pode ter contribuído com o ocorrido.

O desenrolar deste caso também prova que pagar o resgate dos dados para hackers é uma decisão terrível que pode acabar como um tiro no próprio pé, especialmente se houver recusa de identificação por parte deles.

Se os oficiais de segurança ignorarem os riscos evidenciados por este caso e repetirem os mesmos erros que o CSO do Uber, eles não terão ninguém a culpar, a não ser a si mesmos, quando acabarem atrás das grades. Eles foram avisados. Mas será que isso foi suficiente para que aprendessem a lição? Veremos no futuro.