Pembaruan 05/05/23: Kamis malam, hakim federal William Orrick menyatakan mantan kepala cybersecurity Uber Joseph Sullivan tidak akan menderita hukuman penjara karena menutupi pelanggaran keamanan besar-besaran di perusahaan transportasi online tujuh tahun lalu. Dia malah dimasukkan ke dalam masa percobaan dan harus menyelesaikan 200 jam pelayanan masyarakat.
Karyawan Pentagon Terlalu Bersemangat untuk Mengikuti Aturan
Menurut The Wall Street Journal, Orrick mengatakan kepada pengadilan bahwa dia memberikan keringanan hukuman kepada Sullivan karena sifat kasus yang tidak biasa dan ini adalah yang pertama dari jenisnya. Dia juga mengemukakan karakter Sullivan berkat banyaknya surat yang menunjukkan dukungan mereka kepada mantan pejabat keamanan dunia maya. Hakim menambahkan bahwa jika lebih banyak pejabat keamanan dunia maya menempuh rute yang sama dengan Sullivan, mereka dapat mengharapkan hukuman penjara yang sebenarnya.
Jaksa sebelumnya menuntut hingga beberapa tahun penjara, tetapi pengacara Sullivan menunjuk sekitar 180 surat yang dia terima yang membuktikan pekerjaan sebelumnya di keamanan dunia maya. Salah satu surat itu ditandatangani oleh 40 mantan atau eksekutif keamanan perusahaan saat ini.
Cerita asli:
Kembali pada tahun 2016, Uber mengalami pelanggaran keamanan yang mengakibatkan kebocoran 57 juta nama pengguna, nomor telepon, alamat email — bersama dengan info pribadi dan bahkan SIM dari 600.000 pengemudi Uber. Alih-alih secara terbuka mengakui peretasan tersebut, Sullivan dan beberapa staf yang bekerja untuknya membayar para peretas sekitar $100.000 untuk merahasiakan pembobolan tersebut. Tebusan, yang dibayarkan dalam bitcoin, berasal dari program bounty bug perusahaan, meskipun jumlah maksimum tipikal perusahaan untuk menemukan bug hanya $10.000, dan Uber tidak menyebutkan pelanggaran tersebut kepada publik. Saat itu, Komisi Perdagangan Federal sudah menyelidiki perusahaan tersebut atas pelanggaran lain yang terjadi pada tahun 2014, sebelum Sullivan masuk sebagai kepala keamanan baru setelah meninggalkan Facebook (sekarang Meta).
Menurut Wall Street Journal, pengacara Sullivan berargumen di pengadilan bahwa Sullivan membuat para peretas menandatangani perjanjian kerahasiaan yang menunjukkan bahwa mereka menghancurkan semua data yang diretas, meskipun sampai hari ini tidak jelas apakah data yang diretas itu benar-benar dihapus. Pengacara Sullivan berpendapat bahwa kesepakatan adalah jaminan yang cukup bagi perusahaan bagi mereka untuk mengklasifikasikan insiden tersebut sebagai hadiah bug belaka, seolah-olah para peretas hanyalah topi putih yang memberi tahu Uber tentang kerentanannya daripada mencuri data.
Setelah CEO Uber saat ini Dara Khosrowshahi datang ke tempat kejadian, wartawan mengungkap peretasan dan penyamaran, dan perusahaan segera memecat Sullivan dan memerintahkan penyelidikan internal terhadap dia dan Craig Clark, salah satu pengacara yang melapor ke mantan CSO.
Mantan eksekutif Uber itu didakwa menghalangi keadilan pada tahun 2020. Juri menghukum Sullivan pada Oktober tahun lalu karena berusaha menyembunyikan pelanggaran keamanan. Pengadilan memutuskan dia bersalah atas halangan dan hukuman penjara karena pekerjaannya menyembunyikan fakta pelanggaran keamanan dari FTC.
Hakim federal untuk Distrik Utara California William Orrick akan menghukum Sullivan setelah pukul 13:30 PT, atau 4:30 ET. Jaksa federal telah merekomendasikan bahwa mantan eksekutif Uber menghadapi antara 24 dan 30 bulan waktu penjara. Pengacara AS juga menyebutkan sesama eksekutif Uber Anthony Levandowski, yang sebelumnya mengaku bersalah dan dijatuhi hukuman 18 bulan karena mencuri rahasia dagang dari Google.
“Jika bukan karena kedatangan kepemimpinan baru yang tidak disengaja di Uber, ada banyak alasan untuk meyakini bahwa puluhan juta korban Pelanggaran Data 2016 tidak akan pernah mengetahuinya,” tulis jaksa dalam memorandum hukuman mereka.
Gizmodo menghubungi pengacara Sullivan dari Grup Hukum Angeli, tetapi kami tidak segera mendapat kabar. Pengacaranya berpendapat dalam dokumen pengadilan bahwa jumlah waktu penjara “tidak diperlukan” karena dia “telah menderita, dan akan terus menderita, konsekuensi yang signifikan karena kasus ini.” Pengacaranya juga menanggapi permintaan fed untuk dua tahun penjara atau lebih, meminta pengadilan untuk mempertimbangkan pengabdiannya kepada keluarganya dan “komitmen kuat untuk pelayanan publik.”
Perusahaan telah mengalami peretasan besar, seperti pada tahun 2022 ketika geng LAPSUS$ berhasil mengakses jaringan internal perusahaan dan saluran Slack. Perusahaan itu jauh lebih cepat untuk memberikan perincian tentang pelanggaran itu daripada peretasan sebelumnya. Uber telah mencoba untuk memperbaiki citranya dari menjadi raksasa yang haus data. Meskipun perusahaan lebih bersedia untuk menunjukkan kepada pengguna jenis data apa yang dimilikinya tentang pengguna, perusahaan masih berencana untuk menggunakan lebih banyak data pelanggan untuk melakukan lebih banyak iklan asli saat menggunakan aplikasi.