因掩蓋數據泄露，Uber前首席安全官被判三年緩刑

周四，美國打車軟件Uber（優步）前安全主管Joe Sullivan被判處三年緩刑。此前陪審團于2022年判定其犯有妨礙司法調查、非法掩蓋Uber數據盜竊案的罪名。

事情要從2016年Uber的重大安全漏洞說起，當時有兩名黑客使用盜竊的憑據非法訪問存儲在亞馬遜S3存儲服務上的Uber備份文件，其中包含5700萬名乘客以及司機的詳細信息。兩人于2016年11月聯系了Uber并以此索要10萬美元的贖金。

當時為了掩蓋數據泄露的丑聞，Uber前安全主管Joe Sullivan與黑客談判達成協定，雙方決定將這筆付給入侵者的勒索贖金偽裝成對白帽黑客的漏洞賞金，使該安全事件看起來像是典型的漏洞披露，而不是數據泄露。

2016年12月，Uber通過其HackerOne漏洞賞金計劃向這二人分別支付了5萬美元。在這之前他們已與Uber簽署了一份保密協議，承諾會刪除這些數據。這兩名黑客后來于2019年認罪，承認曾攻擊、勒索包括優步和領英在內的多個知名機構。

一直到2017年11月，Uber才公布關于此事的數據泄露通知。這個時候該公司已就此事與美國各州達成了1.48億美元的和解協議，并向英國和荷蘭的數據保護機構支付了100多萬美元的罰款。

“向執法部門隱瞞有關重罪的信息是一種犯罪，”美國聯邦調查局負責此案的人員說道，“我們希望公司不要幫助犯罪黑客掩蓋他們的蹤跡。不要讓客戶的問題變得更糟，也不要掩蓋竊取人們個人數據的犯罪企圖。”

上個月底，美國聯邦官員敦促法官以妨害司法罪判處Joe Sullivan 15個月監禁。但最終舊金山的法官只判處了該Uber前首席安全官三年緩刑以及200小時的社區服務。