उबर के पूर्व मुख्य सुरक्षा अधिकारी को बुधवार को 2016 के डेटा उल्लंघन को छिपाने का प्रयास करने का दोषी ठहराया गया, जिसमें हैकरों ने राइड-हेलिंग सेवा के लाखों ग्राहकों के रिकॉर्ड तक पहुंच बना ली थी।
संघीय अभियोजकों ने बताया कि सैन फ्रांसिस्को में एक संघीय जूरी ने जोसेफ सुलिवन को न्याय में बाधा डालने तथा संघीय अपराध किए जाने की जानकारी छिपाने का दोषी ठहराया।
अभियोजकों ने बताया कि सुलिवन को सजा सुनाए जाने तक जमानत पर रिहा रखा गया है और सजा सुनाए जाने पर उसे दोनों आरोपों के लिए कुल आठ वर्ष की जेल हो सकती है।
अमेरिकी अटॉर्नी स्टेफ़नी एम. हिंड्स ने एक बयान में कहा, “नॉर्दर्न डिस्ट्रिक्ट ऑफ़ कैलिफ़ोर्निया में प्रौद्योगिकी कंपनियाँ उपयोगकर्ताओं से बड़ी मात्रा में डेटा एकत्र करती हैं और संग्रहीत करती हैं।” “हम कॉर्पोरेट अधिकारियों द्वारा जनता से महत्वपूर्ण जानकारी छिपाने को बर्दाश्त नहीं करेंगे, जो उपयोगकर्ताओं की सुरक्षा के बजाय अपनी और अपने नियोक्ताओं की प्रतिष्ठा की रक्षा करने में अधिक रुचि रखते हैं।”
ऐसा माना जा रहा है कि यह डेटा उल्लंघन के मामले में किसी कंपनी के कार्यकारी अधिकारी पर पहला आपराधिक मुकदमा था।
सुलिवन के वकील डेविड एंजेलि ने फैसले पर आपत्ति जताई।
एंजेली ने न्यूयॉर्क टाइम्स को बताया, “श्री सुलिवन का एकमात्र ध्यान – इस घटना में और अपने पूरे प्रतिष्ठित करियर में – इंटरनेट पर लोगों के व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने पर रहा है।”
इस सजा पर टिप्पणी मांगने के लिए उबर को भेजे गए ईमेल का तुरंत जवाब नहीं मिला।
सुलिवन को 2015 में उबर के मुख्य सुरक्षा अधिकारी के रूप में नियुक्त किया गया था। अभियोजकों ने बताया कि नवंबर 2016 में सुलिवन को हैकरों द्वारा ईमेल भेजा गया था, और कर्मचारियों ने तुरंत पुष्टि की कि उन्होंने लगभग 57 मिलियन उपयोगकर्ताओं के रिकॉर्ड और 600,000 ड्राइवर लाइसेंस नंबर चुरा लिए हैं।
अधिकारियों ने बताया कि इस उल्लंघन के बारे में पता चलने के बाद, सुलिवन ने इसे जनता और संघीय व्यापार आयोग से छिपाने की योजना बनायी, जो 2014 में हुई एक छोटी सी हैकिंग की जांच कर रहा था।
अमेरिकी अटॉर्नी के कार्यालय के अनुसार, सुलिवन ने अधीनस्थों से कहा कि “सुरक्षा समूह के बाहर कहानी यह थी कि 'यह जांच मौजूद नहीं है',” और हैकर्स को हैक का खुलासा न करने का वादा करने वाले गैर-प्रकटीकरण समझौतों पर हस्ताक्षर करने के बदले में बिटकॉइन में $100,000 (लगभग 82 लाख रुपये) का भुगतान करने की व्यवस्था की। अभियोजकों ने कहा कि उन्होंने कभी भी उबर के वकीलों को उल्लंघन का उल्लेख नहीं किया, जो FTC की जांच में शामिल थे।
अमेरिकी अटॉर्नी कार्यालय ने कहा, “सुलिवन ने यह जानते हुए भी इन कृत्यों को अंजाम दिया कि हैकर्स उबर के साथ-साथ अन्य कंपनियों को भी हैक कर रहे थे और उनसे जबरन वसूली कर रहे थे।”
उबर के नए प्रबंधन ने 2017 की शरद ऋतु में इस उल्लंघन की जांच शुरू की। अभियोजकों ने कहा कि सुलिवन द्वारा नए मुख्य कार्यकारी अधिकारी और अन्य लोगों से झूठ बोलने के बावजूद, सच्चाई सामने आ गई और उल्लंघन को सार्वजनिक कर दिया गया।
सुलिवन को क्रेग क्लार्क के साथ नौकरी से निकाल दिया गया, जो उबर के वकील थे और जिन्हें उन्होंने इस उल्लंघन के बारे में बताया था। क्लार्क को अभियोजकों द्वारा छूट दी गई और उन्होंने सुलिवन के खिलाफ गवाही दी।
इस मामले में उबर के किसी अन्य अधिकारी पर आरोप नहीं लगाया गया।
हैकरों ने 2019 में कंप्यूटर धोखाधड़ी की साजिश के आरोपों में दोषी करार दिया था और अब सजा का इंतजार कर रहे हैं।
सुलिवन को संघीय व्यापार आयोग की कार्यवाही में बाधा डालने और गुंडागर्दी का ज्ञान छिपाने का दोषी ठहराया गया, जिसका अर्थ है अधिकारियों से गुंडागर्दी की जानकारी छिपाना।
इस बीच, कुछ विशेषज्ञों ने सवाल उठाया है कि इस उल्लंघन के बाद से उबर में साइबर सुरक्षा में कितना सुधार हुआ है।
कंपनी ने पिछले महीने घोषणा की थी कि उसकी सभी सेवाएं चालू हैं, जिसे सुरक्षा पेशेवरों ने एक बड़ा डेटा उल्लंघन कहा था, तथा दावा किया था कि इस बात का कोई सबूत नहीं है कि हैकर को संवेदनशील उपयोगकर्ता डेटा तक पहुंच मिली थी।
अकेले हैकर ने जाहिर तौर पर एक सहकर्मी के रूप में खुद को पेश करके उबर के एक कर्मचारी को धोखा देकर उसके क्रेडेंशियल सरेंडर करवा लिए। हैकर ने सुरक्षा शोधकर्ताओं के साथ जो स्क्रीनशॉट साझा किए हैं, उनसे पता चलता है कि उन्हें क्लाउड-आधारित सिस्टम तक पूरी पहुँच मिल गई है, जहाँ उबर संवेदनशील ग्राहक और वित्तीय डेटा संग्रहीत करता है।
यह पता नहीं चल पाया है कि हैकर ने कितना डेटा चुराया या वे उबर के नेटवर्क में कितने समय तक रहे। इस बात का कोई संकेत नहीं है कि उन्होंने डेटा नष्ट किया है।