尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
近日,美國聯邦大陪審團就Uber前首席安全官喬·沙利文(Joe Sullivan)涉嫌向聯邦執法機構隱瞞黑客攻擊並向其支付高額「封口費」一事發布起訴書,在此前妨礙司法和故意隱瞞重罪兩項罪名以外新增了第三項指控——電信欺詐。目前,針對新指控對沙利文進行提審的時間尚未確定。
據南都此前報導,2016年10月,黑客成功竊取5700萬條Uber司機和乘客的個人信息,內含姓名、電子郵箱、電話號碼以及60萬名司機的駕照信息。時任Uber首席安全官的沙利文在知悉後選擇隱瞞該事件,以安全漏洞賞金(一種獎勵發現、報告軟件漏洞的個人的制度)的名義向黑客支付價值10萬美元的比特幣並與其簽訂保密協議,要求黑客不獲取和存儲Uber數據且不對外聲張此事。
此外,沙利文還向Uber的新管理團隊謊報了該數據泄露事件的影響範圍和嚴重程度。2017年,當沙利文被Uber新任首席執行官要求對此事件作出匯報時,他修改簡報,謊稱黑客只是訪問了包括Uber數據的文件夾而非獲取和存儲數據,同時否認該事件的本質為「數據泄露」,只是十分平常的一次安全事故。
然而,在事情敗露後,Uber為此付出了高昂的代價。據悉,2018年,Uber因此事向美國50個州和哥倫比亞特區支付了1.48億美元的和解金,並向英國和荷蘭的數據保護機構支付了總計120萬美元的罰款。其後,入侵Uber數據庫的兩名黑客也於2019年在加州聯邦法院認罪,但目前尚未被判刑。
Uber為數據泄露事件付出代價的同時,對沙利文的單獨指控也有了進展。去年8月,美國司法部宣布,沙利文因妨礙司法和故意隱瞞重罪被起訴,如果罪名成立,他將面臨最高八年的監禁和50萬美元的罰款。
近日,美國聯邦大陪審團發布對沙利文的起訴書,在此前兩項罪名的基礎上又增加了「電信欺詐」的指控。起訴書顯示,沙利文在得知數據泄露發生後,採取了各種措施向個人信息被泄露的司機隱瞞此事,確保其無法獲悉該事件的真實性質和嚴重程度,該行為被指控為涉嫌電信欺詐。
根據加利福尼亞州的數據泄露通知法,當組織受到攻擊發生數據泄露時,需通知當地居民關於個人信息安全性可能受到的影響。起訴書認為,沙利文在知情的情況下有義務對重大數據漏洞進行披露和承諾,這種隱瞞和誤導的做法是其為獲取投資者的金錢和財產而實施的嚴重欺詐行為。
「我們針對沙利文偽造文件,逃避通知受害者的義務,以及向FTC(美國聯邦貿易委員會,簡稱FTC)隱瞞數據泄露的嚴重性等行為作出指控。」加利福尼亞北區代理、美國檢察官斯蒂芬妮·海因茲(Stephanie M. Hinds)表示,「他所做的一切都是為了讓公司獲利。」
截至目前,沙利文並未針對新指控作出回應。然而,去年其發言人布拉德·威廉斯(Brad Williams)曾以強烈的態度試圖駁回此案。在他看來,決定是否以及向誰披露數據泄露事件的主體是Uber的法律部門,而非沙利文本人或其團隊,沙利文在此事件中充當了「替罪羊」的角色。
這一觀點也獲得了咨詢公司LutaSecurity的漏洞賞金專傢凱迪·穆蘇里斯(Katie Moussouris)的讚同。「我認為把喬挑出來是荒謬的。」她向媒體表示,沒有一傢公司會把安全和透明度決策單獨交給一名高管,不僅參與決策的所有高管都負有共同責任,任何涉及此類情況的漏洞獎勵公司都不得無視數據泄露法律。
公開報導顯示,沙利文目前正擔任互聯網基礎設施服務公司Cloudflare的首席安全官。如果電信欺詐的罪名成立,他將面臨最高20年的監禁和25萬美元的罰款。
編譯/綜合:南都見習記者 樊文揚