近日,美國聯邦大陪審團就Uber前首席安全官喬·沙利文(Joe Sullivan)涉嫌向聯邦執法機構隱瞞駭客攻擊並向其支付高額“封口費”一事發布起訴書,在此前妨礙司法和故意隱瞞重罪兩項罪名以外新增了第三項指控——電信欺詐。目前,針對新指控對沙利文進行提審的時間尚未確定。
據南都此前報道,2016年10月,駭客成功竊取5700萬條Uber司機和乘客的個人資訊,內含姓名、電子郵箱、電話號碼以及60萬名司機的駕照資訊。時任Uber首席安全官的沙利文在知悉後選擇隱瞞該事件,以安全漏洞賞金(一種獎勵發現、報告軟體漏洞的個人的制度)的名義向駭客支付價值10萬美元的比特幣並與其簽訂保密協議,要求駭客不獲取和儲存Uber資料且不對外聲張此事。
此外,沙利文還向Uber的新管理團隊謊報了該資料洩露事件的影響範圍和嚴重程度。2017年,當沙利文被Uber新任執行長要求對此事件作出彙報時,他修改簡報,謊稱駭客只是訪問了包括Uber資料的資料夾而非獲取和儲存資料,同時否認該事件的本質為“資料洩露”,只是十分平常的一次安全事故。
然而,在事情敗露後,Uber為此付出了高昂的代價。據悉,2018年,Uber因此事向美國50個州和哥倫比亞特區支付了1.48億美元的和解金,並向英國和荷蘭的資料保護機構支付了總計120萬美元的罰款。其後,入侵Uber資料庫的兩名駭客也於2019年在加州聯邦法院認罪,但目前尚未被判刑。
Uber為資料洩露事件付出代價的同時,對沙利文的單獨指控也有了進展。去年8月,美國司法部宣佈,沙利文因妨礙司法和故意隱瞞重罪被起訴,如果罪名成立,他將面臨最高八年的監禁和50萬美元的罰款。
近日,美國聯邦大陪審團釋出對沙利文的起訴書,在此前兩項罪名的基礎上又增加了“電信欺詐”的指控。起訴書顯示,沙利文在得知資料洩露發生後,採取了各種措施向個人資訊被洩露的司機隱瞞此事,確保其無法獲悉該事件的真實性質和嚴重程度,該行為被指控為涉嫌電信欺詐。
根據加利福尼亞州的資料洩露通知法,當組織受到攻擊發生資料洩露時,需通知當地居民關於個人資訊保安性可能受到的影響。起訴書認為,沙利文在知情的情況下有義務對重大資料漏洞進行披露和承諾,這種隱瞞和誤導的做法是其為獲取投資者的金錢和財產而實施的嚴重欺詐行為。
“我們針對沙利文偽造檔案,逃避通知受害者的義務,以及向FTC(美國聯邦貿易委員會,簡稱FTC)隱瞞資料洩露的嚴重性等行為作出指控。”加利福尼亞北區代理、美國檢察官斯蒂芬妮·海因茲(Stephanie M. Hinds)表示,“他所做的一切都是為了讓公司獲利。”
截至目前,沙利文並未針對新指控作出回應。然而,去年其發言人布拉德·威廉姆斯(Brad Williams)曾以強烈的態度試圖駁回此案。在他看來,決定是否以及向誰披露資料洩露事件的主體是Uber的法律部門,而非沙利文字人或其團隊,沙利文在此事件中充當了“替罪羊”的角色。
這一觀點也獲得了諮詢公司Luta Security的漏洞賞金專家凱迪·穆蘇里斯(Katie Moussouris)的贊同。“我認為把喬挑出來是荒謬的。”她向媒體表示,沒有一家公司會把安全和透明度決策單獨交給一名高管,不僅參與決策的所有高管都負有共同責任,任何涉及此類情況的漏洞獎勵公司都不得無視資料洩露法律。
公開報道顯示,沙利文目前正擔任網際網路基礎設施服務公司Cloudflare的首席安全官。如果電信欺詐的罪名成立,他將面臨最高20年的監禁和25萬美元的罰款。
編譯/綜合:南都見習記者 樊文揚