联邦检察官指控优步(Uber&39;)前首席安全官通过安排向应对此次攻击负责的黑客支付10万美元,掩盖了2016年发生的一起大规模数据泄露事件。5700万名优步乘客和司机的个人数据在黑客攻击中被盗。
检察官指控乔·沙利文妨碍司法公正,并隐瞒涉嫌掩盖的重罪。根据周四提交给加州联邦法院的一份起诉书,沙利文参与了一项向监管机构隐瞒和隐瞒违规行为的计划,并且没有向执法部门或公众报告。
加州北区联邦检察官大卫·安德森(David Anderson)告诉NPR,沙利文正被控公司掩盖事实,沙利文被控支付封口费以隐瞒本应披露的事情。
沙利文的一位发言人发来一份声明,称这些指控没有道理,他是从事安全工作的更大团队的一员。他说,如果不是沙利文先生和他的团队的努力,很可能永远不会确定对这起事件负有责任的个人。这位发言人说,优步的法律团队,而不是沙利文,负责决定是否以及向谁披露此事。
优步发言人马特·卡尔曼(Matt Kallman)表示:我们将继续全力配合司法部的调查。我们在2017年做出的披露这一事件的决定不仅是正确的,而且体现了我们今天经营业务的原则:透明、诚信和负责任。
沙利文据称不仅向当局隐瞒了入侵事件,还向包括最高管理层在内的许多其他优步员工隐瞒了此事-只有一个例外。根据起诉书,优步当时的首席执行官特拉维斯·卡兰尼克(Travis Kalanick)知道这起事件,也知道沙利文采取了哪些措施来掩盖这一事件,包括根据优步的错误赏金计划支付了10万美元。
与许多科技公司一样,优步付钱给所谓的白帽黑客,让他们测试其系统是否存在漏洞。但起诉书称,优步在这起案件中支付的费用比它以前支付的任何错误赏金都要高得多,并指出该公司的计划名义上有1万美元的上限。
起诉书称,优步要求黑客签署保密协议,这也不是漏洞赏金的标准做法。这些协议错误地说,黑客没有拿走或存储任何数据。
安德森说,问题是,这笔封口费并不是一笔虫子赏金。我们声称,这整个行为过程反映了[沙利文]的罪恶感和竭力隐瞒的意识。
这些指控是2016年11月发生的事件的最新转折,当时沙利文收到了一封来自一名自称约翰·道斯的黑客的电子邮件,他声称在Uber中发现了一个重大漏洞。根据起诉书,这名黑客说,我能够转储Uber数据库和许多其他东西。
当时,优步正在接受联邦贸易委员会(Federal Trade Commission)的调查,原因是2014年发生的另一起入侵事件与约翰·道斯(John Doughs)获取优步数据的方式相同。起诉书称,在这两起案件中,黑客都获得了进入优步亚马逊云服务器的钥匙,该公司在那里存储了司机和客户的数据。
在2014年的入侵事件中,一名黑客获得了约5万名司机的姓名和驾照。2016年的入侵规模要大得多;这些黑客掌握了大约60万名司机的姓名和驾照号码,以及5700万名乘客和司机的姓名、电子邮件地址和电话号码。
根据起诉书,在收到约翰·道斯的电子邮件后,沙利文很快通知卡兰尼克,他有一些敏感的事情要向他汇报。起诉书中引用的一条来自卡兰尼克的短信讨论了通过漏洞赏金计划向黑客支付费用。
需要确定他拥有什么,对此的敏感性/曝光性,以及他能真正将此视为[错误]赏金情况的信心。根据起诉书,资源可以是灵活的,以便将这件事放在床上,但我们需要非常严格地记录这一点,#34;卡兰尼克写道。
根据起诉书,沙利文从未将新的入侵事件告知联邦贸易委员会,尽管他密切参与了该机构对早先黑客攻击的调查。
起诉书称,目击者报告称,沙利文显然被这些事件震撼了。一名目击者还报告说,沙利文在一次私人谈话中表示,他不敢相信他们会让另一起泄密事件发生,团队必须确保泄密的消息不会泄露出去。
在沙利文第一次得知此事一年后,卡兰尼克因优步咄咄逼人的竞争行为和有毒的工作环境发生一系列丑闻而被迫离职,这起泄密事件才被完全曝光。根据起诉书,沙利文最初向卡兰尼克的继任者达拉·科斯罗沙希(Dara Khosrowshahi)隐瞒了围绕泄密事件的情况。
2017年11月,Khosrowshahi向联邦贸易委员会披露了这一违规事件,并发表了公开道歉声明,并解雇了沙利文。
优步与联邦贸易委员会达成和解,并同意在20年内每两年对其隐私和安全系统进行审计。该公司还支付了创纪录的1.48亿美元罚款,以了结所有50个州和哥伦比亚特区提起的诉讼。
去年,安德森的办公室指控了两名男子的违规行为:佛罗里达州温泉市的布兰登·格洛弗和多伦多的瓦西尔·梅里亚克。他们承认了电脑黑客和敲诈勒索的罪行--不仅是在优步入侵事件中,而且在随后的一次入侵LinkedIn的Lynda.com学习平台方面也是如此。
安德森说,掩盖的结果之一是,黑客继续以类似于他们对优步所做的方式攻击其他公司。因为优步的黑客攻击是隐蔽的,执法部门无法回应,执法部门无法拘留黑客,执法部门也无法干扰他们的所作所为。
此外,针对沙利文的起诉书称,这两名黑客与第三人分享了他们窃取的优步数据,该第三人尚未受到指控。安德森说,那个人仍然可能拥有数据。
沙利文在硅谷很有名气。自2018年以来,他一直担任互联网安全公司Cloudflare的首席安全官。在2015年加入优步之前,他在Facebook工作了六年,包括担任首席安全官。
在进入科技行业之前,沙利文花了两年时间在加州北区担任美国助理检察官,起诉电脑黑客和知识产权犯罪-对他提出指控的办公室。
如果沙利文被判有罪,他将面临最高8年的监禁,以及可能高达50万美元的罚款。