司法部起诉优步前安全主管,称其掩盖影响5000多万人的数据泄露事件。检察官说,虽然优步及其时任首席安全官是在2016年得知这起黑客事件的,但该公司直到一年后才公开披露此事。
官员们表示,所谓的掩盖行为直接来自乔·沙利文(Joe Sullivan),他在2015年4月至2017年11月期间担任优步的安全主管。2016年10月,天辰黑钱吗优步遭遇数据泄露。布兰登·查尔斯·格洛弗(Brandon Charles Glover)和瓦西里·梅拉克(Vasile Mereacre)两名黑客于2019年10月被定罪,他们也是对在线学习网站Lynda发动网络攻击的幕后黑手。
黑客窃取了5700万司机和乘客的数据——包括姓名、电子邮件地址和驾照号码——并同意有偿删除这些数据。
在加州等州,公司被要求在几天内公开披露这次黑客攻击,但优步没有这样做,而是向黑客支付了10万美元,并让他们签署了一份保密协议。
沙利文将这笔钱描述为漏洞赏金,公司经常向发现安全漏洞的研究人员支付。检察官表示,这笔钱更多的是为了掩盖事实,而不是悬赏。
联邦调查局副特工克雷格·费尔在一份声明中说:“虽然这是长期企图颠覆执法的一个极端例子,但我们希望各公司能够站出来予以关注。”不要帮助犯罪黑客掩盖他们的踪迹。不要让你的客户的问题变得更糟,也不要掩盖窃取用户个人数据的犯罪企图。”
一年后,前优步首席执行官特拉维斯·卡兰尼克被迫离职,天辰黑钱吗由达拉·科斯罗萨希接任,这起黑客事件才被公众知晓。沙利文向新任首席执行官简要介绍了网络攻击的情况,但删除了黑客获取了哪些数据以及公司何时向黑客付款的细节。
在此事被公开后,公司解雇了苏利文,并就数据泄露支付了1.48亿美元的和解金。
沙利文被控妨碍司法公正,面临最高5年监禁。他目前是Cloudflare的首席安全官。
沙利文的发言人布拉德福德威廉姆斯(Bradford Williams)在一份声明中说,“这起案件的核心是,一个庞大的跨职能团队对优步进行的数据安全调查,该团队由包括沙利文在内的一些世界顶级安全专家组成。”“如果不是沙利文和他的团队的努力,可能永远都不会找到对这起事件负有责任的人。”从一开始,沙利文和他的团队就按照公司的书面政策,与优步的法律、通讯和其他相关团队密切合作。这些政策明确表示,决定是否向谁披露此事的是优步的法律部门,而不是沙利文或他的团队。”
法庭文件显示,在私下谈话中,沙利文告诉优步的安全团队,需要“确保没有泄露泄露的消息”。美国联邦贸易委员会(Federal Trade Commission,简称ftc)仍未对此次数据泄露事件进行调查。2014年,该委员会已经就一起数据泄露事件对优步展开了调查。
优步在一份声明中表示:“我们将继续全力配合司法部的调查。”“2017年,我们决定披露这一事件,这不仅是一件正确的事情,而且体现了我们今天经营业务的原则:透明、诚信和问责制。”
优步向黑客支付漏洞赏金,与该公司通常奖励安全研究人员的方式不同。法庭文件显示,优步的漏洞赏金计划最高限额为1万美元,从未支付过接近10万美元的费用。
此外,优步的漏洞悬赏从来没有像为两位黑客所做的那样,附带过保密协议。该公司自己的漏洞奖励政策也明确指出,公司不会为从其服务器转储的数据付费。
“硅谷不是蛮荒的西部,”美国律师大卫·安德森(David Anderson)说。“我们期待良好的企业公民意识。我们希望立即报告犯罪行为。我们期待与我们的调查合作。我们不能容忍企业隐瞒事实。”