前优步安全主管被控隐瞒黑客行为

2020-08-21 03:55:18

加利福尼亚州奥克兰。-优步(Uber)前安全负责人周四被控试图向联邦调查人员隐瞒一起黑客攻击事件,该事件暴露了5700万名司机和乘客的电子邮件地址和电话号码。

旧金山美国地区法院对52岁的乔·沙利文(Joe Sullivan)提起的刑事指控据信是第一起针对高管的刑事指控,起因是公司对安全事件的反应。

但这些指控在未能保护优步的计算机网络和未向当局通报之间划出了一个重要的区别。检察官表示,沙利文没有向联邦调查人员披露2016年的事件,他犯下了两项重罪,联邦调查人员已经在调查两年前发生的一起类似的数据泄露事件。

“当像优步这样的公司遭到黑客攻击时,我们希望获得良好的企业公民身份,我们希望迅速向黑客攻击中的员工和消费者受害者披露信息。在这种情况下,我们看到的是与良好的企业行为完全相反的,“旧金山的联邦检察官大卫·安德森(David Anderson)在接受采访时表示。

如果这两项指控都成立,沙利文可能面临最高八年的监禁。

沙利文在领导Facebook的网络安全工作后,于2015年成为优步的首席安全官。他领导着这家叫车公司的安全工作,直到2017年被解雇,当时他对数据泄露的处理被优步新任命的首席执行官发现,这起事件还暴露了大约60万名司机的驾照号码。

沙利文现在是互联网公司Cloudflare的首席信息安全官,他的发言人表示,沙利文的行为得到了优步法律部门的批准,对他的指控毫无根据。

发言人布拉德福德·威廉姆斯(Bradford Williams)说,“如果不是沙利文先生和他的团队的努力,很可能永远不会确定对这起事件负有责任的人的身份。”他补充说,“优步的法律部门--而不是沙利文或他的团队--负责决定是否以及向谁披露此事。”

沙利文在2018年关于这起入侵事件的声明中说,“那些想用负面眼光描绘优步的人很快就暗示这是在掩盖事实,这让我既惊讶又失望。”

2016年,黑客发现了一种获取优步用户数据的方法,并迅速窃取了一份副本。优步发现了黑客给该公司发送电子邮件的时间,并表示他们已经获得了用户的个人信息。他们要钱。沙利文和优步的其他员工就10万美元的付款进行了谈判,并说服黑客签署了保密协议。

法庭文件显示,当沙利文得知黑客攻击的消息时,“明显受到了震动”,他告诉其他人,他“不敢相信他们让另一次入侵发生了,团队必须确保入侵的消息不会泄露出去”。

当时,联邦贸易委员会(Federal Trade Commission)正在调查优步(Uber)与两年前发生的一起类似的数据泄露事件有关。但是,检察官表示,尽管沙利文知道FTC的调查,并在宣誓后与调查人员交谈,但他没有向FTC官员通报2016年的黑客攻击事件。法庭文件显示,他还向负责与FTC就早些时候的事件进行沟通的优步员工隐瞒了有关该事件的信息。

优步试图通过其所谓的漏洞赏金计划安静地处理这起事件。科技公司经常向发现并报告其软件缺陷的安全研究人员支付赏金。但漏洞赏金专家质疑,优步向黑客支付的款项是否符合此类项目的道德界限,这些项目旨在诱使人们报告安全漏洞,以便修复这些漏洞。

10月份,佛罗里达州居民布兰登·格洛弗(Brandon Gliver)和加拿大国民瓦西尔·梅里亚克(Vasile Mereuck)承认了黑客行为。他们每人可能面临最高五年的联邦监狱监禁,预计明年将被判刑。

优步直到2017年才披露这起泄密事件,此前该公司前首席执行官特拉维斯·卡兰尼克(Travis Kalanick)被投资者赶下台,由优步现任首席执行官达拉·科斯罗沙希(Dara Khosrowshahi)取而代之。

科斯罗沙希解雇了沙利文和优步负责安全和执法的法律主管克雷格·克拉克(Craig Clark),后者曾帮助监督安全事件的应对工作。

“我们将继续全力配合司法部的调查,”优步发言人马特·卡尔曼(Matt Kallman)说。“我们在2017年决定披露这一事件,这不仅是正确的做法,也体现了我们今天经营业务的原则:透明、诚信和问责。”

针对沙利文的刑事指控是2016年入侵事件引发的一系列法律纠纷中的最新一起。

2018年,FTC扩大了之前与该公司达成的和解协议。优步还支付了1.48亿美元,以了结几个州总检察长对黑客攻击事件的调查。优步还因此次入侵被英国和荷兰监管机构罚款约120万美元。

加州总检察长泽维尔·贝塞拉(Xavier Becera)在敲定2018年和解协议后发表声明称,“优步决定掩盖这起违规事件,公然违背了公众的信任。”

公司在其系统遭到黑客攻击后经常面临政府调查,对没有及时披露这些事件的公司进行民事处罚是司空见惯的。

但法律专家表示,与处理违规行为相关的对公司或其高管的刑事指控,通常与实际事件无关。

Equifax的两名高管被判犯有内幕交易罪,此前他们利用对2017年消费者信用报告机构违规事件的了解,出售了他们在该公司的股份。其中一人被判处4个月监禁,另一人面临8个月的家庭监禁。

2018年,雅虎在未能披露2014年数据泄露事件后,向美国证券交易委员会(Securities And Exchange Commission)支付了3500万美元的罚款。司法部还调查了雅虎未能披露的情况,但没有提出任何指控。