信息來源:安全內(nèi)參
近日,美國聯(lián)邦大陪審團指控優(yōu)步(Uber)的前首席安全官(CSO)約瑟夫·沙利文(Joseph Sullivan)犯有三項電匯欺詐罪,此前沙利文因隱瞞2016年的大規(guī)模數(shù)據(jù)泄露事件而被起訴。
現(xiàn)年52歲的沙利文2015年4月至2017年11月期間擔任優(yōu)步的CSO,目前還面臨2020年八月被指控的妨礙司法公正和叛國罪等重罪指控。如果這些罪名成立,沙利文將面臨最高8年的監(jiān)禁和50萬美元的罰款。
檢察官聲稱沙利文向當局隱瞞和誤導2016年的數(shù)據(jù)泄露事件,該事件暴露了5700萬乘客的個人信息,其中包括約60萬名優(yōu)步司機的駕照等信息。
在這次數(shù)據(jù)泄露事件中,沙利文最引人注目的“騷操作”是通過漏洞賞金計劃向黑客支付了價值10萬美元的比特幣。
在聯(lián)邦貿(mào)易委員會(FTC)就此次泄露事件展開調查時,沙利文提供了書面答復并提供了宣誓作證。在他向FTC作證大約十天后,2016年11月14日,這位CSO收到了一封來自攻擊者的電子郵件,通知他另一次網(wǎng)絡攻擊。這位優(yōu)步前CSO選擇了掩蓋事件,向黑客支付了巨額“封口費”。
事后,沙利文還指示黑客銷毀數(shù)據(jù)。不僅如此,沙利文甚至還尋求與攻擊者簽訂保密協(xié)議(NDA),要求他們發(fā)布虛假消息稱沒有信息或數(shù)據(jù)被泄露。
事件最終以兩名黑客身份敗露落入法網(wǎng)告終,但是根據(jù)2019年10月美國司法部的新聞稿,由于沙利文未能及時披露優(yōu)步數(shù)據(jù)事件,導致兩名黑客繼續(xù)作案成功入侵了其他公司和用戶。
2018年,優(yōu)步向50個州和哥倫比亞特區(qū)支付了1.48億美元的和解金。盡管如此,對沙利文的單獨刑事指控仍在繼續(xù)。如果2020年的指控成立,沙利文將面臨最高8年的監(jiān)禁和50萬美元的罰款。
目前擔任Cloudflare首席安全官的沙利文的出庭日期尚未確定。
“存儲他人個人信息的機構必須遵守法律,”加利福尼亞北區(qū)代理美國檢察官斯蒂芬妮·海因茲說,沙利文曾在那里擔任聯(lián)邦檢察官。
“當發(fā)生這樣的黑客攻擊時,州法律要求通知受害者,”Hinds說。聯(lián)邦法律還要求企業(yè)對政府的官方調查作出如實回答。起訴書稱,沙利文兩者都沒有做到。
“我們指控沙利文偽造文件以逃避通知受害者的義務,并向FTC隱瞞數(shù)據(jù)泄露的嚴重性,所有這些都是為了讓他的公司受益?!?