隐瞒数据泄露,前优步CSO面临重罪指控
近日,美国联邦大陪审团指控优步(Uber)的前首席安全官(CSO)约瑟夫·沙利文(Joseph Sullivan)犯有三项电汇欺诈罪,此前沙利文因隐瞒2016年的大规模数据泄露事件而被起诉。
现年52岁的沙利文2015年4月至2017年11月期间担任优步的CSO,目前还面临2020年八月被指控的妨碍司法公正和叛国罪等重罪指控。如果这些罪名成立,沙利文将面临最高8年的监禁和50万美元的罚款。
检察官声称沙利文向当局隐瞒和误导2016年的数据泄露事件,该事件暴露了5700万乘客的个人信息,其中包括约60万名优步司机的驾照等信息。
在这次数据泄露事件中,沙利文最引人注目的“骚操作”是通过漏洞赏金计划向黑客支付了价值10万美元的比特币。
在联邦贸易委员会(FTC)就此次泄露事件展开调查时,沙利文提供了书面答复并提供了宣誓作证。在他向FTC作证大约十天后,2016年11月14日,这位CSO收到了一封来自攻击者的电子邮件,通知他另一次网络攻击。这位优步前CSO选择了掩盖事件,向黑客支付了巨额“封口费”。
事后,沙利文还指示黑客销毁数据。不仅如此,沙利文甚至还寻求与攻击者签订保密协议(NDA),要求他们发布虚假消息称没有信息或数据被泄露。
事件最终以两名黑客身份败露落入法网告终,但是根据2019年10月美国司法部的新闻稿,由于沙利文未能及时披露优步数据事件,导致两名黑客继续作案成功入侵了其他公司和用户。
2018年,优步向50个州和哥伦比亚特区支付了1.48亿美元的和解金。尽管如此,对沙利文的单独刑事指控仍在继续。如果2020年的指控成立,沙利文将面临最高8年的监禁和50万美元的罚款。
目前担任Cloudflare首席安全官的沙利文的出庭日期尚未确定。
“存储他人个人信息的机构必须遵守法律,”加利福尼亚北区代理美国检察官斯蒂芬妮·海因兹说,沙利文曾在那里担任联邦检察官。
“当发生这样的黑客攻击时,州法律要求通知受害者,”Hinds说。联邦法律还要求企业对政府的官方调查作出如实回答。起诉书称,沙利文两者都没有做到。
“我们指控沙利文伪造文件以逃避通知受害者的义务,并向FTC隐瞒数据泄露的严重性,所有这些都是为了让他的公司受益。”