掩蓋黑客竊取用戶信息事件,Uber 前首席安全官遭指控
美國司法部官員表示,前優步(Uber )首席執行官(CSO) Joe Sullivan就安全漏洞向管理層撒謊,并向黑客支付了巨款。
周四,優步前首席安全官因掩蓋公司2016年的安全漏洞而被起訴,其間黑客竊取了5700萬優步客戶的個人詳細信息和60萬名優步司機的詳細信息。
北加州檢察官指控52歲的Joe Sullivan,他在2015年4月至2017年11月擔任Uber首席運營官,當時Uber更換了CEO和大部分管理團隊。
根據法院文件,司法部官員聲稱,Sullivan“在2016年的泄密事件上,故意采取了隱瞞、轉移和誤導聯邦貿易委員會的步驟。”
美國加利福尼亞州北區檢察官David Anderson在今天的新聞發布會上在講話中說,Sullivan通過向當局和管理層隱藏Uber黑客,間接地幫助黑客入侵了其他公司。
Anderson說:“該辦公室于去年指控了黑客,他們對此表示認罪。” “在認罪時,黑客承認使用了與優步黑客事件類似的技術攻擊其他公司。
Anderson說:“如果Sullivan及時報告了Uber黑客事件,那么其他公司的其他黑客事件就可以避免。”
2016年Uber黑客攻擊是如何展開
但是,要了解幕后發生的事情,我們必須結合美國司法部今天提出的細節,以及美國司法部針對Uber黑客案的法院文件,他們分別是來自佛羅里達州的26歲美國人Brandon Glover和來自多倫多的23歲加拿大人Vasile Mereacre。
對于這兩組文檔,在兩名黑客使用定制工具獲得對GitHub帳戶的訪問權限之后,發生了Uber黑客攻擊。
Glover和Mereacre專門針對大型公司的員工帳戶,訪問了他們的GitHub個人資料,然后在員工的項目中搜索敏感的密碼和憑據。
這就是這兩個黑客如何獲取Uber后端基礎架構的Amazon Web Services(AWS)憑證的方式,他們在那里找到并隨后下載了5700萬Uber客戶和600,000 Uber司機的詳細信息。
根據法庭文件,這兩個黑客通過電子郵件與Sullivan接觸,聲稱他們“發現了一個重大漏洞”,提供了被盜數據的樣本,然后要求支付100,000美元的比特幣以揭示該公司的安全漏洞。
今天公布的法庭文件顯示,Sullivan在11月14日收到此電子郵件時,剛剛向FTC提交了有關2014年安全漏洞的書面證詞,在此期間,黑客竊取了大約50,000名駕駛員的姓名和駕駛執照。
檢察官說,Sullivan和他的安全團隊在收到電子郵件后的24小時內確認了黑客的樣本數據的有效性,但Sullivan沒有向FTC通知這一新的安全漏洞,而是同意向黑客支付“保密費”。
今天提交的法院文件顯示,Sullivan與當時的優步首席執行官Travis Kalanick就安全漏洞進行了對話,Kalanick批準了黑客以漏洞懸賞計劃的形式獲得贖金。
調查人員說,Sullivan繼續執行該計劃,并安排黑客即使不知道其真實姓名也簽署保密協議。簽署了最初的合同,并于2016年12月通過公司的HackerOne漏洞賞金計劃發放。
但是,美國檢察官說,當Uber的安全團隊追蹤并發現了這兩名黑客時,Sullivan沒有通知當局,而是讓這兩名黑客以真實姓名重新簽署了保密協議。
此外,美國司法部的投訴還聲稱,Sullivan堅持要求黑客簽署一份合同,聲稱他們沒有獲取Uber的任何數據,因為該聲明是虛假的。
美國司法部今天在新聞稿中說:“當一名優步員工向Sullivan詢問這個虛假承諾時,Sullivan堅持說該語言應遵守保密協議。”
新管理進來,暴露黑客
事情隨后平靜下來,但直到2017年8月,Uber董事會罷免了Kalanick并由Dara Khosrowshahi取代他。
美國司法部說,Sullivan已將2016年的安全事件通知了新的管理團隊,但仍繼續掩蓋這一黑客行為。
司法部說:“特別是,Sullivan未能向新的管理團隊提供有關違規行為的關鍵細節。” “ 2017年9月,Sullivan通過電子郵件向Uber的新任首席執行官介紹了2016年的事件。Sullivan要求他的團隊準備該事件的摘要,但在收到摘要摘要后,他對其進行了編輯。他的編輯刪除了有關黑客已經采取并錯誤地聲稱只有在識別出黑客之后才付款。”
但是,盡管問題得到了解決,但新的優步首席執行官于2017年11月向公眾披露了這一違規行為。在此披露之后,聯邦調查局進行了調查,該調查迅速查明并逮捕了黑客,兩人均于2019年10月認罪。
在FBI調查并獲得公司內部溝通渠道的同時,他們也開始了解Sullivan在掩蓋2016年違規行為中的作用。
Anderson今天說:“硅谷不是狂野的西部。” “我們期望良好的企業公民身份。我們期望迅速舉報犯罪行為。我們期望與我們的調查合作。我們不會容忍公司的掩蓋行為。我們不會容忍非法的秘密付款。”
但是,前優步CSO發言人今天在一條消息中說,司法部的案子沒有法律依據。
“ 針對Sullivan先生的指控毫無根據,Sullivan是一位受人尊敬的網絡安全專家和前美國助理檢察官。此案的核心是優步的一項數據安全調查,該調查由一個由一些世界頂尖安全專家組成的跨職能大型團隊進行,如果不是Sullivan先生及其團隊的努力,很可能根本不會查明負責此事件的人員,從一開始,Sullivan先生及其團隊就與根據公司的書面政策,Uber的法律,溝通和其他相關團隊明確表示,Uber的法律部門(而非Sullivan先生或他的團隊)負責決定是否以及與誰合作,此事應予以披露。”
Sullivan今天因與2016年黑客和隨后的掩蓋行為有關而被指控妨礙司法公正和緩期執行。如果兩項指控均被判有罪,Sullivan將分別面臨最高五年和三年的監禁。
正如NPR今天指出的那樣,在擔任優步(Uber)的公民社會組織(CSO)之前,Sullivan之前曾在負責今天的同一家辦公室擔任助理美國檢察官,起訴計算機黑客犯罪
