因涉嫌向聯邦執法機構隱瞞黑客攻擊事件,曾在2015年至2017年間擔任Uber首席安全官的喬·沙利文(Joe Sullivan)於上週被起訴,罪名為妨礙司法和掩蓋重罪。
Uber前任首席安全官喬·沙利文。
據瞭解,2016年有黑客成功入侵Uber數據庫並竊取了5700萬條Uber司機和乘客的個人信息。主管安全事務的沙利文不但沒有通知執法機構,還支付了價值10萬美元的比特幣給黑客,要求其刪除竊取的信息並不得對外聲張。
據報道,這應該是美國第一起和公司高管回應安全事件相關的刑事指控。
沙利文隱瞞第二次攻擊事件,並與黑客籤保密協議
當地時間8月21日,在經過美國聯邦調查局(FBI)調查後,美國聯邦檢察官大衞·安德森(David Anderson)和FBI副主管克雷格·費爾(Craig Fair)聯合召開新聞發佈會,宣佈對沙利文的上訴指控。
據美國司法部披露,早在2014年9月,Uber就曾遭遇過黑客入侵,美國聯邦貿易委員會(FTC)隨後對此事件展開調查,並要求Uber就相關問題進行書面回覆作為證詞。當時,沙利文被指派為專員處理此次調查。2016年11月14日,在提交證詞10天后,沙利文就收到了黑客的一封郵件,通知他Uber數據庫再次遭到攻擊。
美國司法部表示,本可以選擇在24小時向執法機構報告,但沙利文選擇了隱瞞此次被攻擊事件。
調查顯示,2016年10月,黑客竊取了5700萬Uber司機和乘客的個人信息,內含姓名、電子郵箱地址、電話號碼等,以及60萬名Uber司機的駕照資料。
為了以合法的方式確保黑客不聲張此事,沙利文還以發現安全漏洞賞金的名義向黑客支付了價值10萬美元的比特幣,並與黑客簽訂保密協議。保密協議中註明,該黑客並未獲取或存儲任何Uber用户資料,而在當時,沙利文甚至都不知道黑客的真實姓名。
當Uber團隊確認黑客身份之後,沙利文再次要求黑客重新簽署保密協議,同樣宣稱黑客並未取得Uber用户資料。據報道,當Uber員工向沙利文詢問為何在保密協議中進行錯誤描述時,沙利文仍堅稱黑客並未取得Uber用户的資料。
沙利文或將面臨最高八年監禁
此次起訴還指控,在2016年事件的關鍵細節上,沙利文欺騙了Uber的新管理團隊。2017年8月接任Uber首席執行官的多拉·科斯羅莎(Dara Khosrowshahi)也曾要求沙利文匯報2016年的事件,沙利文修改了彙報簡報,刪除了黑客取得Uber用户資料等細節。
隨後,沙利文在科斯羅莎查明事實後離職,同時也受到美國司法部的調查,並在上週正式被起訴。
目前,涉案的兩名黑客已經被捕,兩人已經被美國加州北區聯邦法院起訴並認罪。美國司法部在此次申訴中指出,因沙利文故意隱瞞使得執法人員沒有注意到之前的數據泄露事件,黑客又再次成功入侵了其他公司的用户數據庫。
兩名黑客分別面臨最高五年監禁和每人25萬美元的罰款,目前還在等待最終宣判。一旦他們被判有罪,沙利文將因阻撓罪被判處最高五年監禁,並因掩蓋他人犯罪被判處最高三年監禁。
在新聞發佈會上,美國聯邦檢察官安德森指出,硅谷並非荒蠻之地,他們期待企業能夠有良好的公民意識,希望企業能夠舉報犯罪行為並協助調查,無法容忍企業包庇罪犯並私下付款的行為。
同時,FBI副主管費爾也表示,向執法機構隱瞞重大犯罪事件屬於犯罪行為,企業不該協助黑客隱瞞犯罪,也不應該遮掩黑客獲取他人數據的犯罪企圖。
編譯:南都記者 李慧琪
【來源:南方都市報】
聲明:轉載此文是出於傳遞更多信息之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。 郵箱地址:[email protected]