据外媒报道,美国司法部(Department of Justice)的一份声明显示,优步(Uber)前安全高管Joseph Sullivan曾试图向联邦交易委员会(Federal Trade Commission)和优步管理层隐瞒数据泄露事件,因而被控妨碍司法公正。
图片来源:优步
Joseph Sullivan于2015年4月至2017年11月担任优步首席安全官(CSO)一职,涉嫌隐瞒了2016年10月发生的黑客攻击事件。在此次事件中,黑客公开了5700万名司机和客户的机密数据,包括司机的驾照信息。美国司法部表示,优步之后向黑客支付了10万美元的比特币,让黑客将数据删除。之后,Sullivan也被解雇了。
除了被控妨碍司法公正,Sullivan还被控犯有玩忽职守罪,因为他明明知道出现了漏洞,却采取措施隐瞒漏洞。如果罪名成立,Sullivan会因妨碍司法公正面临最高5年的监禁,因玩忽职守罪面临最高3年的监禁。
Sullivan的发言人Bradford Williams在一封给媒体的电子邮件中表示,针对其当事人的指控“毫无合理”可言,而且指出Sullivan是一位“令人尊敬的网络安全专家,还是前美国助理检察官。”
Williams表示,如果没有Sullivan和优步安全团队的努力,“很有可能永远都找不到这起事件的负责人。Sullivan和团队的行为都符合公司的书面政策,而且与优步的法律、通讯和其他相关团队紧密合作。这些政策也明确表示,应该由优步的法律部门,而不是Sullivan先生或他的团队,负责决定是否以及向谁披露此事。”
美国司法部表示,此次黑客攻击事件发生在对2014年一起黑客入侵事件的调查期间,Sullivan在协助当局进行调查时,有两名黑客与他联系,要求他支付六位数的封口费。但是,Sullivan却没有报告2016年的黑客入侵事件,而是有意采取了其他措施,阻止了FTC去了解黑客入侵的情况。
根据指控文件显示,Sullivan曾试图通过漏洞赏金计划向黑客支付10万美元,尽管公司并不知道黑客是谁。Sullivan还试图让黑客签署保密协议,协议规定黑客不会拿走或存储任何有关用户和司机的机密数据。
在向北加州地方法院提交的刑事起诉书中,联邦调查局(FBI)详细介绍了Sullivan在意识到驾照信息泄露可能与黑客有关时,采取了一些措施。起诉书中写道:“在太平洋时间2016年11月15日凌晨1点左右,Sullivan通过短信联系了当时的优步首席执行官(Travis Kalanick),还有通话记录显示,Sullivan与Travis Kalanick的通话持续了约5分钟。而从Travis Kalanick的回应中可以看出,他们已经在讨论要根据漏洞赏金计划处理这一事件。”
在优步员工确认了黑客的身份后,Sullivan立刻让黑客签署了新的保密协议。随后,优步管理层发现了这一事件,并披露了这个漏洞。根据刑事起诉书所说,优步漏洞赏金计划的条款“没有授权可以奖励从优步控制的系统中访问并获取用户和司机个人身份信息的黑客。
根据司法部的声明,自2016年11月以来,优步一直在配合政府进行调查。优步的一名发言人在一份给媒体的电子邮件中表示:“我们将继续全力配合司法部进行调查。2017年,我们决定披露这一事件,这不仅是一种正确的行为,也体现了我们的运营原则:透明、公正以及负责。”