隱瞞數據泄露，前優步CSO面臨重罪指控

近日，美國聯邦大陪審團指控優步(Uber)的前首席安全官(CSO)約瑟夫·沙利文(Joseph Sullivan)犯有三項電匯欺詐罪，此前沙利文因隱瞞2016年的大規模數據泄露事件而被起訴。

現年52歲的沙利文2015年4月至2017年11月期間擔任優步的CSO，目前還面臨2020年八月被指控的妨礙司法公正和叛國罪等重罪指控。如果這些罪名成立，沙利文將面臨最高8年的監禁和50萬美元的罰款。

檢察官聲稱沙利文向當局隱瞞和誤導2016年的數據泄露事件，該事件暴露了5700萬乘客的個人信息，其中包括約60萬名優步司機的駕照等信息。

在這次數據泄露事件中，沙利文最引人注目的“騷操作”是通過漏洞賞金計劃向黑客支付了價值10萬美元的比特幣。

在聯邦貿易委員會(FTC)就此次泄露事件展開調查時，沙利文提供了書面答復并提供了宣誓作證。在他向FTC作證大約十天后，2016年11月14日，這位CSO收到了一封來自攻擊者的電子郵件，通知他另一次網絡攻擊。這位優步前CSO選擇了掩蓋事件，向黑客支付了巨額“封口費”。

事后，沙利文還指示黑客銷毀數據。不僅如此，沙利文甚至還尋求與攻擊者簽訂保密協議(NDA)，要求他們發布虛假消息稱沒有信息或數據被泄露。

事件最終以兩名黑客身份敗露落入法網告終，但是根據2019年10月美國司法部的新聞稿，由于沙利文未能及時披露優步數據事件，導致兩名黑客繼續作案成功入侵了其他公司和用戶。

2018年，優步向50個州和哥倫比亞特區支付了1.48億美元的和解金。盡管如此，對沙利文的單獨刑事指控仍在繼續。如果2020年的指控成立，沙利文將面臨最高8年的監禁和50萬美元的罰款。

目前擔任Cloudflare首席安全官的沙利文的出庭日期尚未確定。

“存儲他人個人信息的機構必須遵守法律，”加利福尼亞北區代理美國檢察官斯蒂芬妮·海因茲說，沙利文曾在那里擔任聯邦檢察官。

“當發生這樣的黑客攻擊時，州法律要求通知受害者，”Hinds說。聯邦法律還要求企業對政府的官方調查作出如實回答。起訴書稱，沙利文兩者都沒有做到。

“我們指控沙利文偽造文件以逃避通知受害者的義務，并向FTC隱瞞數據泄露的嚴重性，所有這些都是為了讓他的公司受益。”

原文來源：GoUpSec

“投稿聯系方式：孫中豪 010-82992251 sunzhonghao@cert.org.cn”