Uber前首席安全官因隱瞞駭客事件遭美司法部起訴
2020年08月21日08:29

  本週四,Uber前首席安全官約瑟夫·沙利文(Joseph Sullivan)受到刑事指控,罪名是試圖隱瞞2016年的一次駭客攻擊。當時的攻擊導致Uber大約5700萬用戶和司機的個人信息泄露。值得注意的是,這樣的訴訟尚沒有先例。

  美國司法部指控52歲的沙利文犯有妨礙司法公正的重罪。訴訟稱,在駭客攻擊發生後,美國聯邦貿易委員會(FC)開始監督Uber的信息安全工作,但他採取“蓄意的措施”,妨礙FTC瞭解相關信息。

  這起案件是企業的信息安全人員首次被指控隱瞞駭客攻擊活動。

  沙利文本人曾是美國聯邦檢察官。他根據Uber的信息安全研究者漏洞報告獎勵計劃,向駭客支付了10萬美元。到目前為止,這是Uber獎勵計劃支付的最高獎金,但這一項目原本並不覆蓋敏感數據被盜事件。

  沙利文此前曾是Facebook的信息安全負責人,目前在Cloudflare擔任首席信息安全官。

  在此前的採訪中,信息安全人員表示,Uber支付這筆錢是為了迫使駭客公開接受獎金,並確保數據,尤其是平台司機的駕照信息被銷毀。

  起訴書稱,沙利文讓駭客簽署了保密協議,謊稱他們沒有竊取數據。此外,Uber時任CEO的特拉維斯·卡蘭尼克(Travis Kalanick)知曉沙利文的行為。

  卡蘭尼克的發言人拒絕對此置評。沙利文的發言人表示,沙利文正在與同事就本案展開合作,具體信息由司法部門披露。

  沙利文的發言人布拉德·威廉姆斯(Brad Williams)說:“如果不是沙利文和他團隊的努力,很可能我們永遠都不會知道,什麼人應該為此事件負責。”

  卡蘭尼克的繼任者、Uber現任CEO達拉·科斯羅沙西(Dara Khosrowshahi)披露了這筆獎金,並在確定違規程度後辭退了沙利文及他的副手。Uber隨後支付1.48億美元,以了結在美國所有50個州和華盛頓特區遭遇的指控。

  對於許多與駭客直接打交道的公司來說,Uber這起案件非常值得關注。許多公司都製定了類似的漏洞報告獎勵計劃,這些計劃通常被視為提高信息安全水平的工具,並為駭客提供法律框架內的獎勵。然而,有些參與者並沒有遵守規則。

  美國聯邦調查局(FBI)指出,在Uber的案件中,兩名主要的駭客繼續攻擊其他公司。如果沙利文首先報告司法部門,那麼這種情況本可以避免。這兩名駭客已經認罪,正在等待法庭判決。

視頻精選
更多新聞