前优步安全主管因数据泄露掩盖罪被判有罪

美国联邦法院陪审团裁定前优步首席安全官约瑟夫沙利文未向监管机构披露2016年违反客户和司机记录的行为，并试图掩盖该事件。

沙利文因两项罪名被定罪：一项是不报告事件而妨碍司法公正，另一项是隐瞒真相。他因妨害罪面临最高五年监禁，后者面临最高三年监禁。

美国律师斯蒂芬妮·M·辛兹（StephanieM.Hinds）在一份新闻声明中表示：“加州北区的科技公司从用户那里收集并存储了大量数据”。

“我们希望这些公司保护这些数据，并在这些数据被黑客窃取时向客户和相关部门发出警报。沙利文肯定地向联邦贸易委员会隐瞒了数据泄露，并采取措施防止黑客被抓获”。

2016年Uber遭到攻击的原因是，两名黑客未经授权访问了该公司的数据库备份，促使这家叫车公司在2016年12月秘密支付了10万美元赎金，以换取删除被盗信息。

优步还让敲诈勒索者签署了一份保密协议，试图将闯入行为冒充漏洞赏金。这些备份包含5000万优步用户和700万司机的数据。

更复杂的是，事件发生时，美国司法部和联邦贸易委员会(FTC)已经在调查该公司2014年5月13日发生的另一起数据泄露事件。

2015年2月，优步（Uber）透露，由于其中一个加密密钥可能泄露，其一个数据库被不当访问，导致约50000名司机的姓名和驾照号码曝光。该事件于2016年9月14日被发现。

美国联邦贸易委员会在2018年指出：“在误导消费者其隐私和安全做法后，优步没有告知委员会2016年再次发生数据泄露，而委员会正在调查该公司2014年惊人的类似违规行为，从而加剧了其不当行为”。

司法部表示，沙利文在Uber就2014年违规事件向FTC做出回应方面发挥了关键作用，被告于2016年11月4日宣誓作证，说明他声称该公司为保护用户数据采取了多少步骤。

但在得知优步再次被泄露后，也就是在他联邦贸易委员会作证后的十天，该机构表示，“沙利文执行了一项计划，以防止任何有关违规行为的信息传到联邦贸易委员会”，而不是选择将此事泄露给当局及其用户。

联邦检察官还指控沙利文对优步首席执行官达拉·科斯罗沙希以及该公司调查2016年事件的外部律师撒谎，称“违规真相”终于在2017年11月曝光。

此外，优步联合创始人、时任首席执行官特拉维斯·卡兰尼克（Travis Kalanick）于2017年6月辞职，据说他已经批准了沙利文处理未经授权入侵的策略。卡兰尼克尚未被起诉。

在与《纽约时报》分享的一份声明中，沙利文的法律团队表示，他在事件发生期间和职业生涯中的唯一关注点是确保“人们在互联网上的个人数据安全”。

这一事态发展标志着公司高管首次因数据泄露而面临刑事指控。与此同时，2016年事件中涉及的两名黑客在2019年10月认罪后，正在等待对其欺诈共谋指控的宣判。

美国司法部指出：“黑客提交的单独认罪书表明，在沙利文协助掩盖Uber的黑客行为后，黑客能够对另一家公司实体Lynda.com进行额外入侵，并试图勒索这些数据”。

尽管2014年和2016年的安全漏洞相互映照，但优步上个月因为错误的原因受到了关注，其系统在一次黑客攻击中第三次被入侵，此后该公司与LAPSUS$网络犯罪集团有关联。

今年7月，优步还与司法部达成协议，支付1.48亿美元，并同意“实施企业诚信计划、具体的数据安全保障措施、事件应对和数据泄露通知计划，以及两年一次的评估”。

FBI旧金山特别负责人Robert K.Tripp说：“今天的有罪判决中传达的信息很清楚：存储客户数据的公司有责任保护这些数据，并在出现漏洞时采取正确的行动”。