Ein Bundesgericht in San Francisco hat den ehemaligen Sicherheitschef von Uber, Joseph Sullivan, für schuldig befunden, den Aufsichtsbehörden eine Verletzung von Kunden- und Fahrerdaten im Jahr 2016 durch einen Hackerangriff verschwiegen zu haben. Zudem habe er versucht, den Vorfall zu vertuschen.
Sullivan wurde in zwei Anklagepunkten verurteilt: Zum einen wegen Behinderung der Justiz durch Nichtmeldung des Vorfalls, zum anderen wegen der Verheimlichung des Wissens über ein Verbrechen. Für die Behinderung der Justiz droht ihm eine Höchststrafe von fünf Jahren, für den zweiten Anklagepunkt eine Höchststrafe von drei Jahren Gefängnis.
Die US-Staatsanwältin Stephanie M. Hinds sagte in einer Presseerklärung:
“Technologieunternehmen im nördlichen Bezirk von Kalifornien sammeln und speichern riesige Mengen an Daten von Nutzern. Wir erwarten von diesen Unternehmen, dass sie diese Daten schützen und ihre Kunden und die zuständigen Behörden alarmieren, wenn solche Daten von Hackern gestohlen werden. Sullivan hat aktiv daran gearbeitet, die Datenverletzung vor der Federal Trade Commission zu verbergen und hat Schritte unternommen, um zu verhindern, dass die Hacker gefasst werden.”
2016 hatten sich zwei Hacker unbefugt Zugang zu den Datenbank-Backups von Uber verschafft. Die Backups enthielten Daten von 50 Millionen Fahrgästen und 7 Millionen Fahrern.
Der Fahrdienstleister zahlte daraufhin im Dezember 2016 heimlich ein Lösegeld in Höhe von 100.000 US-Dollar, woraufhin die Hacker eine Geheimhaltungsvereinbarung unterzeichnen und die Daten löschen sollten, um den Datendeibstahl zu vertuschen.
2017 wurde der Fall allerdings erneut untersucht und Sullivan schließlich entlassen.
Es ist nun das erste Mal, dass eine Führungskraft eines Unternehmens wegen eines Hacks strafrechtlich verfolgt wird. Die Staatsanwaltschaft argumentierte, Sullivan habe den Angriff nicht aufgedeckt, um seinen Ruf zu schützen.
Im Juli 2022 einigte sich Uber mit dem Justizministerium auf die Zahlung einer Rekordstrafe von 148 Millionen Dollar. Das Unternehmen erklärte sich bereit, ein Integritätsprogramm für das Unternehmen, spezifische Sicherheitsvorkehrungen für die Datensicherheit sowie Pläne für die Reaktion auf Vorfälle und die Meldung von Datenschutzverletzungen einzuführen und alle zwei Jahre Bewertungen vorzunehmen.
Die beiden Hacker, die in den Vorfall von 2016 verwickelt waren, warten auf ihre Verurteilung, nachdem sie sich im Oktober 2019 schuldig bekannt haben.