Caso de Sullivan traz lições para CSOs. Foto: Pexels.
Joe Sullivan, ex-Chief Security Officer (CSO) do Uber, foi condenado pela justiça americana por ocultar um vazamento de dados no aplicativo de transporte.
Um júri considerou o executivo culpado de obstrução da justiça e ocultação de provas nesta quarta-feira, 5. A sentença final ainda está pendente de julgamento, mas Sullivan pode ser condenado a até oito anos de prisão.
O caso em questão envolve o vazamento de dados de 57 milhões de usuários e motoristas do Uber, em 2016.
Na ocasião, Sullivan não informou publicamente aos órgãos do mercado financeiro nos Estados Unidos, como prevê a lei do país para empresas de capital aberto (e a brasileira também).
Além disso, o Uber pagou US$ 100 mil para os hackers, declarando a verba como parte de um programa de “bug bounty”, no qual as empresas convidam especialistas em informática para testar seus sistemas em um ambiente controlado.
Os hackers am um acordo para não abrir informações sobre o tema, o que se conhece no jargão como um NDA (Non-disclosure agreement, em inglês).
Um agravante é que já nessa época o Uber estava sob investigação das autoridades americanas por outro vazamento, ocorrido em 2014.
A condenação judicial de um CSO por um vazamento de dados é um acontecimento relativamente raro nos Estados Unidos.
Outros profissionais podem tirar lições do episódio. Na época, Sullivan informou o CEO do Uber, Travis Kalanick, mas não o conselho da empresa.
O Uber só abriu o jogo sobre o vazamento em 2017, quando a empresa já tinha outro CEO, Dara Khosrowshahi. Sullivan foi demitido em novembro daquele ano.
Os advogados de Sullivan argumentam que, ao informar o CEO na época, o CSO não poderia ser acusado de ter encoberto a falha. O argumento não colou. Kalanick ainda não foi acusado de nada.
Maurício Renner 5wt6n
Editor at Baguete Diário