Uber 前首席安全長再被指控，可能面臨 8 年監禁

Uber 首席安全長已成高危職業是不爭事實，早在 2017 年喬‧蘇利文（Joe Sullivan）就被指控洩露商業機密、嘗試掩蓋駭客攻擊。

最近《紐約時報》報導，美國時間 8 月 20 日前首席安全長再次被聯邦指控嘗試隱瞞 2016 年 10 月的駭客攻擊，洩露 5,700 萬筆駕駛和乘客的電子郵件和電話號碼，駭客並要求付贖金才刪除這些資料。

蘇利文因企圖掩蓋 Uber 管理層的資料洩露罪名，而被指控妨礙司法公正。

除了妨礙司法公正，蘇利文還被指控犯重罪，意味著他知道違規並選擇隱瞞。如果定罪，他將面臨最高 5 年監禁和最高 3 年輕罪。

如果兩項指控均定罪，蘇利文可能面臨長達 8 年的監禁，而他也是第二位因在 Uber 工作面臨聯邦指控的 Uber 員工，第一位是 Uber 前工程師 Anthony Levandowski，因竊取 Google 自駕車商業機密被判 18 個月監禁。

蘇利文最早於 Facebook 網路安全部門工作，2015 年成為 Uber 首席安全長，直到 2017 年被 Uber 解雇。當時曝光新任執行長發現洩露資料，涉及 60 萬筆駕駛駕照號碼。

聯邦人員表示，Uber 及蘇利文 2016 年就知道駭客事件，卻私下支付駭客 10 萬美元，並與他們簽署保密協定。

蘇利文解釋付款只是「漏洞賞金」，因公司經常發給發現安全漏洞的研究人員賞金。Uber 的漏洞賞金計劃上限為 10 萬美元，之前從未支付任何接近 10 萬美元款項。聯邦調查人員說，這筆付款就是在嘗試掩蓋非賞金的贖金。

FBI 副主管 Craig Fair 聲明：「雖然此案是長期企圖顛覆執法的極端例子，但我們希望公司站出來並引起注意。不要幫助罪犯解決問題。不要讓用戶感到麻煩，也不要掩蓋竊取個資的犯罪企圖。」

整整一年後，Uber 前首席執行長 Travis Kalanick 被迫下台並由 Dara Khosrowshahi 取代，駭客事件才為大眾所知。蘇利文向新任首席執行長介紹此網路攻擊，但抹去駭客竊取哪些資料及何時付給駭客贖金的細節。

Uber 披露事件後開除蘇利文，並支付 1.48 億美元就資料洩露達成和解。目前蘇利文是 Cloudflare 的首席安全長。

蘇利文發言人 Bradford Williams 聲明：「此案重點是由全球最重要的安全專家組成的跨部門大型團隊，調查 Uber 的資料安全。」另一封寄給媒體的聲明檔，Williams 表示對蘇利文的指控「毫無根據」，並指出蘇利文是「受人尊敬的網路安全專家」。

（本文由雷鋒網授權轉載；首圖來源：shutterstock）