10月5日，美國(guó)聯(lián)邦法院陪審團(tuán)對(duì)Uber前首席安全官Joseph Sullivan一案作出裁定——Sullivan曾試圖向美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)隱瞞Uber在2016年的數(shù)據(jù)泄露事件。據(jù)悉，Sullivan被裁定為妨礙司法公正罪和隱瞞罪行罪，可能面臨最高5年和最高3年的監(jiān)禁。

根據(jù)《紐約時(shí)報(bào)》，這是美國(guó)首例企業(yè)高管因黑客攻擊而面臨刑事起訴的案件。但多位安全專家認(rèn)為，Uber可能并不是唯一一家隱瞞數(shù)據(jù)泄露事件的企業(yè)，事實(shí)上向黑客支付贖金的行為并不鮮見(jiàn)。不過(guò)，這起判決可能會(huì)改變企業(yè)安全專業(yè)人士處理數(shù)據(jù)泄露的方式。

黑客攻擊后，首席安全官選擇支付贖金

作為首席安全官，Sullivan在任上的工作涉及了Uber在2014和2016年遇到的兩次數(shù)據(jù)泄露事件。

Sullivan于2015年4月被聘為Uber首席安全官。在他上任一個(gè)月后，F(xiàn)TC就2014年數(shù)據(jù)泄露事件向Uber提出了民事調(diào)查要求。此次事件涉及約5萬(wàn)名消費(fèi)者的個(gè)人信息未經(jīng)授權(quán)訪問(wèn)，包括姓名和駕照號(hào)碼。Sullivan負(fù)責(zé)陳述Uber為保護(hù)客戶數(shù)據(jù)安全所采取的措施，并在2016年11月4日向FTC進(jìn)行了宣誓作證。

在作證后十天，2016年11月14日，Sullivan得知Uber再次遭到了黑客攻擊。黑客們通過(guò)電子郵件直接聯(lián)系Sullivan，稱發(fā)現(xiàn)了Uber的安全漏洞并獲取了數(shù)字密鑰，從亞馬遜云服務(wù)器盜取了大規(guī)模用戶數(shù)據(jù)，包括約5700萬(wàn)Uber用戶的記錄和60萬(wàn)駕照號(hào)碼，以此勒索大筆贖金。

盡管明知應(yīng)立即向FTC報(bào)告，Sullivan仍然隱瞞下了此事，也沒(méi)有將其透露給Uber用戶或任何其他機(jī)構(gòu)。在談判后，2016年12月，Sullivan通過(guò)比特幣向黑客支付了10萬(wàn)美元，并將這筆款項(xiàng)掩飾為漏洞賞金計(jì)劃的一部分。

作為交換，雙方簽署了保密協(xié)議。據(jù)調(diào)查，黑客在協(xié)議中承諾不會(huì)向任何人透露此次數(shù)據(jù)泄露事件，還做出了“沒(méi)有獲取或存儲(chǔ)任何數(shù)據(jù)”的虛假陳述。2017年1月，Uber安全小組查出了這兩名黑客的真實(shí)身份，要求他們以真實(shí)姓名簽署新的保密協(xié)議副本。

證據(jù)表明，Sullivan知道黑客在攻擊和勒索Uber的同時(shí)也攻擊了其他企業(yè)，并至少?gòu)钠渲幸恍┢髽I(yè)獲得了數(shù)據(jù)。后來(lái)黑客提交的認(rèn)罪書表明，在Sullivan協(xié)助掩蓋了對(duì)Uber的攻擊之后，黑客還對(duì)另一家企業(yè)lynda.com進(jìn)行了攻擊和勒索。

2017年秋，Uber的新管理層得知并開始調(diào)查這起2016年的數(shù)據(jù)泄露事件。Sullivan對(duì)新CEO和外部律師撒了謊，稱黑客在身份被確定后才得到贖金，還試圖掩飾信息泄露的嚴(yán)重程度。盡管如此，Uber新管理層仍然推進(jìn)了調(diào)查，并在2017年11月向FTC公開披露了此事。事情曝光后不久，Sullivan被企業(yè)解雇。

2018年，Uber與FTC達(dá)成協(xié)議，承諾維持一項(xiàng)長(zhǎng)達(dá)20年的隱私計(jì)劃。2022年7月，Uber和美國(guó)檢方達(dá)成和解協(xié)議，檢方不對(duì)Uber企業(yè)進(jìn)行刑事指控。作為交換，Uber正式承認(rèn)為2016年數(shù)據(jù)泄露事件負(fù)責(zé)，向美國(guó)50個(gè)州支付1.48億美元，并承諾在針對(duì)Sullivan的案件中“全力合作”，直到10月5日陪審團(tuán)的正式宣判。

關(guān)鍵詞： 優(yōu)步前高管 優(yōu)步前高管或因隱瞞數(shù)據(jù)泄露入獄 前高管隱瞞數(shù)據(jù)泄露 數(shù)據(jù)泄露