近日,美国联邦大陪审团就Uber前首席安全官乔·沙利文(Joe Sullivan)涉嫌向联邦执法机构隐瞒黑客攻击并向其支付高额“封口费”一事发布起诉书,在此前妨碍司法和故意隐瞒重罪两项罪名以外新增了第三项指控——电信欺诈。目前,针对新指控对沙利文进行提审的时间尚未确定。
据南都此前报道,2016年10月,黑客成功窃取5700万条Uber司机和乘客的个人信息,内含姓名、电子邮箱、电话号码以及60万名司机的驾照信息。时任Uber首席安全官的沙利文在知悉后选择隐瞒该事件,以安全漏洞赏金(一种奖励发现、报告软件漏洞的个人的制度)的名义向黑客支付价值10万美元的比特币并与其签订保密协议,要求黑客不获取和存储Uber数据且不对外声张此事。
此外,沙利文还向Uber的新管理团队谎报了该数据泄露事件的影响范围和严重程度。2017年,当沙利文被Uber新任首席执行官要求对此事件作出汇报时,他修改简报,谎称黑客只是访问了包括Uber数据的文件夹而非获取和存储数据,同时否认该事件的本质为“数据泄露”,只是十分平常的一次安全事故。
然而,在事情败露后,Uber为此付出了高昂的代价。据悉,2018年,Uber因此事向美国50个州和哥伦比亚特区支付了1。48亿美元的和解金,并向英国和荷兰的数据保护机构支付了总计120万美元的罚款。其后,入侵Uber数据库的两名黑客也于2019年在加州联邦法院认罪,但目前尚未被判刑。
Uber为数据泄露事件付出代价的同时,对沙利文的单独指控也有了进展。去年8月,美国司法部宣布,沙利文因妨碍司法和故意隐瞒重罪被起诉,如果罪名成立,他将面临最高八年的监禁和50万美元的罚款。
近日,美国联邦大陪审团发布对沙利文的起诉书,在此前两项罪名的基础上又增加了“电信欺诈”的指控。起诉书显示,沙利文在得知数据泄露发生后,采取了各种措施向个人信息被泄露的司机隐瞒此事,确保其无法获悉该事件的真实性质和严重程度,该行为被指控为涉嫌电信欺诈。
根据加利福尼亚州的数据泄露通知法,当组织受到攻击发生数据泄露时,需通知当地居民关于个人信息安全性可能受到的影响。起诉书认为,沙利文在知情的情况下有义务对重大数据漏洞进行披露和承诺,这种隐瞒和误导的做法是其为获取投资者的金钱和财产而实施的严重欺诈行为。
“我们针对沙利文伪造文件,逃避通知受害者的义务,以及向FTC(美国联邦贸易委员会,简称FTC)隐瞒数据泄露的严重性等行为作出指控。”加利福尼亚北区代理、美国检察官斯蒂芬妮·海因兹(Stephanie M。 Hinds)表示,“他所做的一切都是为了让公司获利。”
截至目前,沙利文并未针对新指控作出回应。然而,去年其发言人布拉德·威廉姆斯(Brad Williams)曾以强烈的态度试图驳回此案。在他看来,决定是否以及向谁披露数据泄露事件的主体是Uber的法律部门,而非沙利文本人或其团队,沙利文在此事件中充当了“替罪羊”的角色。
这一观点也获得了咨询公司Luta Security的漏洞赏金专家凯迪·穆苏里斯(Katie Moussouris)的赞同。“我认为把乔挑出来是荒谬的。”她向媒体表示,没有一家公司会把安全和透明度决策单独交给一名高管,不仅参与决策的所有高管都负有共同责任,任何涉及此类情况的漏洞奖励公司都不得无视数据泄露法律。
公开报道显示,沙利文目前正担任互联网基础设施服务公司Cloudflare的首席安全官。如果电信欺诈的罪名成立,他将面临最高20年的监禁和25万美元的罚款。
编译/综合:南都见习记者 樊文扬
