曾担任优步安全主管的约瑟夫沙利文因向当局隐瞒 2016 年的数据泄露事件而被联邦指控定罪。据《纽约时报》报道,旧金山联邦法院的陪审团裁定沙利文因 2014 年发生的另一起违规行为而妨碍联邦贸易委员会当时对优步正在进行的调查。他还被判犯有主动向当局隐瞒重罪。 .沙利文的案件被认为是高管首次因黑客攻击而面临刑事指控,该案围绕着这位前高管如何处理渗透到优步亚马逊服务器并要求该公司支付 10 万美元的不良行为者。
在沙利文为 FTC 就 2014 年网络安全事件的调查作证后不久,黑客就与优步取得了联系。他们告诉他,他们发现了一个安全漏洞,允许他们下载 600,000 名司机的个人数据以及与 5700 万司机和乘客相关的其他信息。正如《华盛顿邮报》报道的那样,后来有消息称,黑客发现了他们用来进入优步亚马逊账户的数字密钥。在那里,他们发现了乘客和司机个人数据的未加密备份集合。
Sullivan 向他们指出了该公司的漏洞赏金计划,该计划的最高奖金为 10,000 美元。然而,黑客们想要至少 100,000 美元,并威胁说如果 Uber 不付钱,他们就会公布他们窃取的数据。这位前安全主管向他们支付了他们要求的比特币金额,并让他们看起来好像是根据漏洞赏金计划获得了报酬——据报道,这一行动受到了当时的 Uber 首席执行官 Travis Kalanick 的制裁。他还追踪了他们并让他们签署了保密协议。
这位前高管的阵营辩称,沙利文认为,在黑客签署保密协议后,优步的用户数据受到了保护。 “沙利文先生认为他们客户的数据是安全的,这不是需要报告的事件。没有掩盖,也没有阻挠,”他的律师大卫安杰利说。但检察官不同意,并认为他使用保密协议是掩盖事件的一种方式。此外,他们强调,该事件不应该有资格获得漏洞赏金计划的奖励,该计划旨在奖励友好的安全研究人员,当不良行为者威胁说如果他们没有得到报酬就会泄露用户的个人信息。他们想要的金额。
最后,陪审团同意检察官的意见,即沙利文应该将数据泄露通知 FTC。直到 Dara Khosrowshahi 接任 CEO 后,FTC 才获悉此事。判决尚未宣判,但沙利文现在因阻挠而面临五年监禁,因未报告重罪而面临最多三年监禁。