Cyber bugie con le gambe corte

Joseph Sullivan è stato condannato a tre anni di libertà vigilata e a una multa di 50 mila dollari. Questa volta la condanna non riguarda il membro di qualche cybergang, ma Joseph Sullivan che, per quanti non lo sapessero, è stato il Chief Security Officer di Uber Technologies.

I fatti risalgono al 2016 quando Huber era sotto inchiesta da parte della Federal Trade Commission per una violazione di dati personali subita nel 2014. Sullivan era stato assunto proprio per cooperare con le autorità, e a novembre del 2016 testimonia sotto giuramento, rassicurando le autorità. Dieci giorni dopo viene a conoscenza di un nuovo attacco ai sistemi, che ha sfruttato la stessa vulnerabilità che aveva portato alla violazione del 2014. Questa volta però vengono esfiltrati i dati di circa 57 milioni di utenti e conducenti di Uber. Da questo momento in poi, il capo della sicurezza cerca in tutti i modi di evitare che la notizia raggiunga la Federal Trade Commission perché, come risulta dalle testimonianze, avrebbe detto a un suo collaboratore, di “non poter permettere che la notizia trapelasse, in quanto avrebbe messo in discussione le sue precedenti affermazioni”. Proprio perché doveva evitarlo a tutti i costi, convince i vertici di Huber a pagare ai criminali 100 mila dollari in Bitcoin in cambio della firma di accordi di non divulgazione.

Soltanto nell’autunno del 2017, il nuovo management di Uber ha iniziato a indagare sui fatti relativi alla violazione dei dati del 2016. Interpellato dall’amministratore delegato, Sullivan aveva minimizzato sostenendo che nessun dato era stato sottratto e successivamente avrebbe analogamente mentito allo studio legale incaricato dall’azienda di fare luce sui fatti. Questo fino al mese di novembre, quando Uber stessa, che ha rivelato pubblicamente la violazione, licenziando contestualmente Sullivan. Questa è la storia.

In primo luogo vale la pena notare che si tratta della prima condanna inflitta negli Stati Uniti a un manager in seguito a un attacco cyber, e questo dovrebbe fare riflettere tutti i professionisti di settore sull’importanza della trasparenza, che va molto oltre il tema della condivisione delle informazioni a fini preventivi rispetto ad attacchi successivi. Quando chi si occupa di cyber security va predicando sulla fondamentale importanza del fattore umano, sarebbe utile se lui per primo ne fosse profondamente consapevole. Il comportamento di Sullivan andrà ad incrementare la percentuale degli attacchi che hanno avuto successo proprio perché qualcuno ha fatto la cosa sbagliata. Non sono soltanto il “clic” e i “tap” di utenti sprovveduti a causare disastri.