Otra revelación incómoda sobre el negocio heredado de Uber y su actitud hacia la supervisión legal: entre la primavera de 2015 y finales de 2016, el gigante de los viajes compartidos usó de manera rutinaria un sistema diseñado para frustrar las redadas policiales en países extranjeros, según Bloombergcitando a tres personas con conocimiento del sistema.
Informa que la oficina de Uber en San Francisco usó el protocolo, que aparentemente se denominó internamente ‘Ripley’, al menos dos docenas de veces. El sistema permitió al personal cambiar las contraseñas de forma remota y “de lo contrario, bloquear los datos en los teléfonos inteligentes, las computadoras portátiles y las computadoras de escritorio propiedad de la empresa, así como apagar los dispositivos”, informa.
También nos han informado, a través de nuestras propias fuentes, sobre múltiples programas en Uber destinados a evitar que las autoridades de supervisión accedan a los datos de la empresa.
La existencia del programa Ripley se alegó anteriormente, en diciembre de 2016, cuando un ex empleado de seguridad de Uber, Ward Spangenberg, hizo una declaración jurada diciendo que era parte de un “equipo de respuesta a incidentes” que ayudó a borrar datos de forma remota cuando Revenu Québec allanaron las oficinas de la compañía en Montreal en 2015. (Alegaciones que Uber negó en ese momento).
Pero según Bloomberg, Uber creó el sistema en respuesta a redadas en sus oficinas en Europa: específicamente después de una redada en marzo de 2015 en su oficina de bruselas en el que la policía obtuvo acceso a su sistema de pagos y documentos financieros, así como información sobre conductores y empleados; y después de un allanamiento en su oficina de París en la misma semana.
Dice que la idea surgió, al menos en parte, de una sugerencia hecha por la consejera general de Uber, Sally Yoo (quien renunció a la compañía en septiembre). Si bien, según los informes, el sistema fue construido por el departamento de TI de Uber, antes de ser asumido por el equipo de seguridad en 2016.
El mes pasado, surgieron acusaciones de que la compañía tenía procesos sistemáticos para poner evidencia potencial fuera del alcance de cualquier autoridad investigadora, incluido el uso de encriptación, servidores secretos y aplicaciones de mensajería efímera, a través de acusaciones hechas en una carta de 37 paginas escrito por el abogado del ex gerente de inteligencia global de Uber, Richard Jacobs (que se hizo público como resultado de la demanda en curso por robo de IP de Waymo vs Uber).
En la carta, el abogado de Jacobs escribe que los gerentes de Uber rechazaron la sugerencia de su cliente, al principio de su empleo, de crear una base de datos centralizada segura y encriptada para garantizar el “mantenimiento de registros y la confidencialidad” “porque se opusieron a preservar cualquier inteligencia que pudiera hacer preservación y descubrimiento legal un proceso simple para futuros litigantes”.
De la carta:
Entonces, Jacobs se dio cuenta de que Uber, principalmente a través de [in-house counsel Craig] clark y [head of global threat operations, Mat] Henley, había implementado una estrategia sofisticada para destruir, ocultar, encubrir y falsificar registros o documentos con la intención de impedir u obstruir las investigaciones del gobierno, así como las obligaciones de descubrimiento en litigios pendientes y futuros. Además de violar USC 1519, esta conducta constituye una violación ética.
Uber dijo el mes pasado que no ha corroborado todas las afirmaciones de la carta, algunas de las cuales también fueron retiradas por Jacobs (quien previamente llegó a un acuerdo financiero con Uber).
Clark ya no es empleado de Uber, ya que fue despedido por el CEO de Uber, Dara Khosrowshahi, a fines del año pasado luego de las revelaciones de que la compañía ocultó una violación masiva de datos durante la mayor parte del año. El jefe de seguridad, Joe Sullivan, también fue despedido al mismo tiempo. Mientras que Henley fue el mes pasado reportado estar comenzando una licencia médica de tres meses.
Bloomberg informa que el programa Ripley era un secreto muy bien guardado en Uber, alegando que muchos empleados en las oficinas que estaban siendo allanadas desconocían su existencia.
Agrega que las versiones posteriores del sistema le dieron a la compañía la capacidad de proporcionar información selectivamente a las agencias gubernamentales que registraron sus oficinas en el extranjero, y los abogados de Uber ordenaron a los ingenieros de seguridad que revelaran información selectivamente a los funcionarios que tenían órdenes judiciales para acceder a sus sistemas.
Bloomberg también nombra otro sistema de ofuscación, dice que se llamó uLocker, que dice que se contempló en los momentos en que Uber quería ser “menos transparente”.
Aparentemente, una versión prototipo del software podría presentar una versión ficticia de una pantalla de inicio de sesión típica a la policía u otros ojos no deseados. Aunque dice que esto nunca fue implementado o utilizado por Uber. Según el informe, el equipo de seguridad de Uber comenzó a trabajar en el software uLocker en 2016, con el proyecto supervisado por John Flynn, el CISO de Uber todavía en funciones.
En una declaración de respuesta a la historia de Bloomberg, Uber nos dijo: “Al igual que todas las empresas con oficinas en todo el mundo, contamos con procedimientos de seguridad para proteger los datos corporativos y de los clientes. Cuando se trata de investigaciones gubernamentales, nuestra política es cooperar con todas las búsquedas y solicitudes de datos válidas”.
uLocker
También hemos oído hablar de la existencia de un programa en Uber llamado uLocker, aunque una fuente con conocimiento del programa nos dijo que la intención era utilizar un exploit cryptolocker de ransomware y aleatorizar los tokens, con la idea de que si Uber era asaltado bloquearía con criptografía sus propios dispositivos para que los datos fueran inaccesibles para las autoridades de supervisión.
La fuente dijo que uLocker estaba siendo escrito internamente por las divisiones de análisis de mercado e ingeniería de Uber de Uber (esta última es la unidad que se informó anteriormente que se enfocaba en recopilar inteligencia de los competidores).
La misma fuente nos dijo que Uber tenía otro programa destinado a orquestar la destrucción física de las estaciones de trabajo de punto final en caso de una redada por parte de la policía, nuevamente como una estrategia para hacer que los datos de la empresa sean inaccesibles para los investigadores externos.
Una fuente diferente con conocimiento de los procesos de Uber, y que estaba recibiendo asesoramiento legal en el momento en que hablamos, se negó a comentar sobre esos dos programas, pero nos dijo que Uber tenía un programa, dirigido por Clark, en el que el personal de Uber en los EE. UU. capacitó a otros sobre cómo evitar el descubrimiento en un debido proceso legal.
Dichos programas controvertidos no fueron fáciles para todos los empleados de Uber que estaban al tanto de ellos, según nuestras conversaciones con las fuentes, y parecen haber contribuido a algunas decisiones de salida individuales, más allá del personal despedido directamente por Khosrowshahi mientras busca limpiar la casa.
Una portavoz de Uber nos confirmó la existencia del programa Ripley en una llamada telefónica, pero dijo que su uso se suspendió en 2016. También dijo que era el mismo software que Uber había usado cuando los empleados dejaron la empresa para asegurarse de que ya no tenían acceso a los sistemas de la empresa. .
Nos dijo que no estaba al tanto de ningún programa específico para capacitar al personal para evitar el debido proceso legal, y señaló que Jacobs “retrocedió muchas de esas declaraciones bajo juramento”.
Con respecto a uLocker, confirmó que el software existe y dijo que todavía está en uso en Uber, pero lo describió como para la gestión de dispositivos móviles (diciendo que reemplazó un sistema MDM estándar anterior que Uber había estado usando, llamado Prey): por lo que se utiliza para bloquear dispositivos y cifrar archivos, como en caso de robo de un dispositivo corporativo.
El proceso de encriptación de uLocker toma “alrededor de un día, por lo que no es algo inmediato”, agregó.
Con respecto a Uber considerando usar uLocker para impulsar un sistema de inicios de sesión ficticios, dijo que era una característica propuesta para el sistema pero que nunca se implementó.
“Sé de dos personas que propusieron eso como idea: ya no están en la empresa y esa característica nunca se creó ni implementó en uLocker”, nos dijo, y se negó a nombrar a las personas, pero especificó que no eran ejecutivos sénior sino ingenieros de primera línea.
Sobre la acusación de cryptolocker, la portavoz reiteró que “uLocker no funciona así”, y agregó: “uLocker está diseñado para que podamos descifrarlo”.
“Solo ha habido una versión de uLocker. Hubo conversaciones anteriores sobre lo que debería incluir, pero solo ha habido una versión. Y todo lo que hace es el bloqueo y el cifrado”.
La portavoz también nos dijo que no estaba al tanto de ningún programa establecido para destruir físicamente las estaciones de trabajo en caso de una redada en una oficina de Uber.
Nos envió el protocolo actual de Uber para manejar las visitas reglamentarias a sus oficinas, en el que la empresa instruye a los empleados para que “cooperen con la investigación”. También advierte explícitamente al personal: “NO borre, destruya, oculte ningún documento o dato”.
Entonces, ¿cuáles podrían ser las implicaciones legales para las empresas que implementan programas destinados a destruir deliberadamente o hacer que la información sea inaccesible en el punto en que los investigadores o reguladores la buscan?
“Si tienen conocimiento de una investigación específica y una… orden de allanamiento específica… y cifran mientras se lleva a cabo la redada para evitar que los agentes accedan a las computadoras a las que tienen una orden judicial, eso podría considerarse obstrucción de la justicia”, dice. Josh Robbins, socio del bufete de abogados litigantes Greenberg bruto LLPdiscutiendo los riesgos de las empresas que intentan frustrar la supervisión regulatoria.
“Si estuvieran encriptando computadoras sin conocimiento de una investigación específica pero encriptando computadoras como medida de seguridad, en general, creo que sería difícil hacer la acusación de obstrucción de la justicia porque necesitarían tener conocimiento de una investigación específica. Es solo una medida de seguridad general.
“Pero no debería importar porque si reciben una citación, por ejemplo, o una orden judicial para producir registros, entonces tienen la obligación de usar su clave de descifrado y desbloquear las computadoras y acceder a la información y proporcionarla al gobierno, y si si se niegan a hacerlo, estarían sujetos a sanciones, desacato al tribunal, etc.
En un caso civil, un tribunal podría sancionar a una empresa por involucrarse en lo que se conoce como “despojo de pruebas”, señala, y sugiere que la sanción podría ser cualquier cosa, desde “permitir que la otra parte le informe al jurado sobre la conducta (que podría ser muy perjudiciales para el juicio), hasta simplemente fallar en su contra sin siquiera ir a juicio”.
“En el lado penal, podría ser, nuevamente si conocen una investigación existente y la implementan con el fin de evitar que se divulgue información a los investigadores que podría verse como una obstrucción de la justicia, lo cual es una violación penal. de una ley estadounidense”, añade.
Si bien Robbins confirma que las empresas de tecnología no tienen la obligación general de mantener sus registros en un formato accesible, y las empresas tienen más flexibilidad en términos de cómo administran la seguridad de sus datos, aún puede haber riesgos legales dado que las empresas a menudo pueden tener múltiples litigios. investigaciones en curso en un momento dado (como ciertamente lo hace Uber ahora, y lo ha hecho durante varios años).
“Si alguna de la información en cuestión es relevante para cualquiera de ellos, entonces tendrían problemas para hacerlo porque efectivamente van a obstruir o impedir esa investigación o litigio, por lo que sería legalmente arriesgado hacerlo a menos que sepan que no es relacionados con esas cosas”, continúa Robbins. “Su política no puede anular sus obligaciones legales generales de preservar y poner a disposición la evidencia”.
También señala que tener políticas sistemáticas para hacer que los datos sean inaccesibles podría tener otros impactos negativos para las empresas, citando la decisión del regulador de transporte de Londres de retirar la licencia de operador de Uber el año pasado, con TfL mencionando explícitamente el programa Greyball (otra pieza de in- house software, desarrollado para ayudar a Uber a evitar el escrutinio regulatorio al monitorear la actividad de supervisión) en su lista de preocupaciones.
“Como fiscal o regulador, la reincidencia es un gran problema en términos de cómo aborda un caso y qué tan agresivamente lo aborda”, dice. “Y si se ve que alguien es un actor malo y repetido, existe una necesidad mucho mayor de disuadir su conducta siendo muy agresivo en la aplicación, o eliminarlo por completo.
“En Londres… Uber ya no es bienvenido allí debido al incidente de Greyball. Y probablemente no solo Greyball, sino que son muy conscientes de algunas de las otras cosas en las que Uber ha estado involucrado y se puede ver esa actitud adoptada probablemente por los reguladores estatales, locales, federales, en varias jurisdicciones cuando ven a un actor que parece como si fuera muy consistente en su burla de la ley”.
Source link