Uber前首席安全官因隱瞞黑客事件遭美司法部起訴

本周四，Uber前首席安全官約瑟夫·沙利文（Joseph Sullivan）受到刑事指控，罪名是試圖隱瞞2016年的一次黑客攻擊。當(dāng)時的攻擊導(dǎo)致Uber大約5700萬用戶和司機(jī)的個人信息泄露。值得注意的是，這樣的訴訟尚沒有先例。

美國司法部指控52歲的沙利文犯有妨礙司法公正的重罪。訴訟稱，在黑客攻擊發(fā)生后，美國聯(lián)邦貿(mào)易委員會（FC）開始監(jiān)督Uber的信息安全工作，但他采取“蓄意的措施”，妨礙FTC了解相關(guān)信息。

這起案件是企業(yè)的信息安全人員首次被指控隱瞞黑客攻擊活動。

沙利文本人曾是美國聯(lián)邦檢察官。他根據(jù)Uber的信息安全研究者漏洞報告獎勵計劃，向黑客支付了10萬美元。到目前為止，這是Uber獎勵計劃支付的最高獎金，但這一項目原本并不覆蓋敏感數(shù)據(jù)被盜事件。

沙利文此前曾是Facebook的信息安全負(fù)責(zé)人，目前在Cloudflare擔(dān)任首席信息安全官。

在此前的采訪中，信息安全人員表示，Uber支付這筆錢是為了迫使黑客公開接受獎金，并確保數(shù)據(jù)，尤其是平臺司機(jī)的駕照信息被銷毀。

起訴書稱，沙利文讓黑客簽署了保密協(xié)議，謊稱他們沒有竊取數(shù)據(jù)。此外，Uber時任CEO的特拉維斯·卡蘭尼克（Travis Kalanick）知曉沙利文的行為。

卡蘭尼克的發(fā)言人拒絕對此置評。沙利文的發(fā)言人表示，沙利文正在與同事就本案展開合作，具體信息由司法部門披露。

沙利文的發(fā)言人布拉德·威廉姆斯（Brad Williams）說：“如果不是沙利文和他團(tuán)隊的努力，很可能我們永遠(yuǎn)都不會知道，什么人應(yīng)該為此事件負(fù)責(zé)?！?/p>

卡蘭尼克的繼任者、Uber現(xiàn)任CEO達(dá)拉·科斯羅沙西（Dara Khosrowshahi）披露了這筆獎金，并在確定違規(guī)程度后辭退了沙利文及他的副手。Uber隨后支付1.48億美元，以了結(jié)在美國所有50個州和華盛頓特區(qū)遭遇的指控。

對于許多與黑客直接打交道的公司來說，Uber這起案件非常值得關(guān)注。許多公司都制定了類似的漏洞報告獎勵計劃，這些計劃通常被視為提高信息安全水平的工具，并為黑客提供法律框架內(nèi)的獎勵。然而，有些參與者并沒有遵守規(guī)則。

美國聯(lián)邦調(diào)查局（FBI）指出，在Uber的案件中，兩名主要的黑客繼續(xù)攻擊其他公司。如果沙利文首先報告司法部門，那么這種情況本可以避免。這兩名黑客已經(jīng)認(rèn)罪，正在等待法庭判決。