Ao todo, duas brechas na segurança da companhia de viagens ocorreram em 2016. Porém, os investigadores federais só tinham conhecimento da primeira. Segundo as informações divulgadas pelo Ars Technica, assim que Joe Sullivan descobriu sobre o segundo ataque, ele tentou disfarçar o acontecimento. A forma que o executivo encontrou para fazer isso foi a de pagar a quantia de US$ 100 mil para os hackers, através de um programa para constatar falhas chamado “bug bounty”. Dessa forma, ele conseguiu fingir que o segundo vazamento havia sido um teste planejado pela Uber. Além disso, Sullivan pediu para os criminosos assinarem um acordo de confidencialidade. Tudo isso para não trazer mais dor de cabeça e embaraço para a marca. No entanto, um ano após os ataques, a empresa comunicou o ocorrido para o público. Isso porque muitos estados americanos exigem por lei que brechas de segurança sejam divulgadas. A descoberta foi feita internamente, mas o Bloomberg acabou denunciando o pagamento aos hackers. A partir daí, oficiais da companhia acusaram Joe Sullivan de esconder informações, mas também assumiram responsabilidade pelo fato. Mesmo ainda passível de recursos, o ex-chefe pode pegar 8 anos de prisão (cinco anos por obstrução e três por ter conhecimento sobre um crime e não reportá-lo). Por fim, segundo David Angeli, um dos advogados do ex-executivo da marca de viagens:
Brecha massiva ocorreu em 2016
Até hoje, esse foi o maior vazamento de dados que aconteceu na Uber desde sua fundação em 2009. Cerca de 57 milhões de dados de motoristas e clientes foram prejudicados, desde endereços de e-mail a números de telefone. Contudo, informações como números de cartões de crédito não foram afetados, segundo o comunicado da empresa. O CEO Dara Khosrowshahi questionou na época as decisões da companhia: Como resultado, a Uber recebeu uma multa de US$ 148 milhões após encobrir o vazamento dos dados de clientes e parceiros.