检察官表示,Joseph Sullivan向黑客支付了10万美元的“漏洞赏金”,以此掩盖2016年的数据泄露事件。
Joseph Sullivan
美国旧金山陪审团近日裁定优步前首席安全官(CSO)Joseph Sullivan犯有刑事阻挠罪,原因是未能向联邦当局报告2016年的网络入侵事件。
此案被外界密切关注,这是高级网络安全主管因决定不披露黑客事件而面临刑事后果的罕见案例。
已于周三在美国联邦法院作出判决,此前经历了为期三周的审判。
Sullivan现在因阻挠罪名面临五年监禁,因未报告面临三年的监禁。
此案揭露了网络安全团队在应对黑客攻击事件时面临有时属于灰色地带的处境。
Sullivan的律师辩称,其客户在2016年最终保护了大约5700万条优步客户记录,当时一名匿名黑客访问了这些记录,索要10万美元。这笔钱最终由Sullivan的团队以“漏洞赏金”的名目支付。
检察官声称,Sullivan支付这笔钱是为了企图掩盖这一事件;他采取了措施,防止将该事件报告给联邦贸易委员会,该委员会当时正在因一起早些时候的安全事件调查优步的网络安全做法。
Sullivan在 2017年被优步解雇,三年后被联邦当局起诉。
此案的重点是Sullivan在2016年11月发生网络安全事件后的所作所为,那起事件是在FTC调查优步的期间发生的。
匿名黑客主动找到优步,称他们在优步的系统中发现了一个“重大漏洞”,并获取了敏感的公司数据,要求支付赎金。
在随后的一个月,优步使用比特币数字货币向黑客付款,最终查明了黑客的真实身份,并让对方签署了保密协议。
Sullivan的律师David Angeli在周五结辩陈词环节中表示,由于黑客已确认身份,并签署了保密协议,Sullivan的团队认为被盗数据受到了保护,该团队将这起事件归类为漏洞赏金事件,而不是数据泄密事件。
优步的安全团队和“Sullivan认为他们客户的数据是安全的,这不是需要报告的事件,”Angeli说。“不存在掩盖一说,也不存在阻挠一说。”
但优步已经因2014年对客户数据处理不当而受到调查,并没有将实际情况告知FTC。
据检察官声称,Sullivan也没有将这一事件告知公司法务团队的主要成员。
检察官表示,他还采取了措施,防止黑客下载了优步数据的真相在公司内被广泛知晓。
据审判期间出示的证据显示,时任优步首席执行官的Travis Kalanick知晓这一事件。 Kalanick迫于投资者的压力下台,由优步现任首席执行官Dara Khosrowshahi接任。上任后不久,Khosrowshahi在下令调查后决定深入剖析2016年的事件,他在审判期间出庭作证。
Khosrowshahi表示,最终,他得知已从黑客那里下载了大量数据,黑客获得的报酬比优步通常为漏洞赏金支付的报酬高得多,而Sullivan并没有将这一切告诉他。
2017年11月,Khosrowshahi解雇了Sullivan。他当时说:“我觉得再也不能相信这个人了。”
印第安纳大学商业法和伦理学教授Scott Shackelford表示,此案已引起了网络安全专业人士的广泛关注,原因是高管在遭到黑客攻击后面临刑事指控极为罕见。他说:“就在不久前,公司高管在安全事件后被解雇的情况还很少见。”
Shackelford表示,最近,华盛顿采取了更严厉的做法来监管科技行业。他说:“这可能是许多刑事诉讼中的第一起。”
