优步前安全主管因涉及5700万用户的数据泄露而面临里程碑式的审判
时间:2022-09-09 20:12
优步(Uber)前安全官员乔?沙利文(Joe Sullivan)本周将接受审判,据信这是首位因数据泄露而面临刑事指控的高管。
旧金山的美国地方法院将开始听取辩论,讨论这家拼车巨头的前安全主管沙利文是否未能正确披露2016年的数据泄露事件,该事件影响了全球5700万优步乘客和司机。
在有关勒索软件攻击的报道激增、网络安全保险费上涨之际,这起案件可能会就美国安全人员和高管应对网络安全事件的方式负有责任开创一个重要先例。
2017年11月,优步首席执行官达拉·科斯罗萨西(Dara Khosrowshahi)首次披露,黑客获得了60万名美国优步司机的驾照号码,以及多达5700万名优步乘客和司机的姓名、电子邮件地址和电话号码。
美国许多州的法律都要求像科斯罗萨西这样的公开信息披露,大多数法规都要求“在最合适的时间,不存在不合理的拖延”发出通知。
但科斯罗萨西在宣布这一消息的同时也承认:自信息被泄露以来,已经过去了整整一年。
科斯罗萨西当时说,“你可能会问,为什么我们在一年后的今天才讨论这个问题。”他还表示,该公司已经调查了这一延迟,并解雇了两名负责应对网络入侵的高管,其中之一就是沙利文。
优步的披露引发了几次联邦和全州范围的调查。2018年,优步在与50个州的总检察长达成的一项全国性和解中,因未能披露数据泄露而支付了1.48亿美元。2019年,这两名黑客承认入侵了优步,然后勒索优步的“漏洞赏金”安全研究项目。2020年,司法部对沙利文提起了刑事指控。
在法庭文件中,联邦检察官声称,为了掩盖违反安全规定的行为,沙利文“指示他的团队严格控制2016年漏洞事件的信息”,并将该事件作为漏洞悬赏计划的一部分。
该计划旨在激励黑客和安全研究人员报告漏洞,以换取现金奖励,但它不允许“奖励一名从优步控制的系统访问并获取用户和司机个人身份信息的黑客”,起诉书称。
起诉书称,2016年入侵事件中的黑客获得了10万美元的奖励,比该公司在此之前支付的任何作为该项目一部分的赏金都多。
联邦检察官写道,据称沙利文还让黑客签署了一份补充保密协议(NDA),该协议“虚假地表示,黑客在入侵期间没有获得或存储任何数据”。
司法部在起诉书中称,只有沙利文和优步前首席执行官特拉维斯·卡兰尼克(Travis Kalanick)了解黑客入侵的全部情况,以及在决定通过漏洞奖励计划将其视为授权披露的过程中发挥了作用。然而,正如《纽约时报》最初报道的那样,安全行业对于沙利文是否应该为这次入侵承担全部责任存在分歧。一些人质疑,其他公司高管和董事会的角色是否也应该受到调查,而其他人则表示,沙利文在其中的角色是明确的。
“我不知道优步管理层是否知道这件事……也不知道沙利文是否被指示支付10万美元以掩盖违规行为。审判将会找出所有这些,”Equifax的首席信息安全官贾米尔·法什奇(Jamil Farshchi)在领英(linkedin)上写道。“我所知道的是,没有人质疑发生了5700万人的信息泄露,优步隐瞒了它,乔·沙利文……参与了隐瞒。”
为您推荐:
- 第一批购房者获得了在墨尔本购买100套公寓的“专有权” 2022-09-09
- 到2023年,悉尼房价可能下跌10% 2022-09-09
- 2022年,什么可能会对澳洲房产买家造成更大的影响 2022-09-09
- 这座海滨小屋最初售价为78英镑,现在售价为250万美元 2022-09-09
- 我们希望转向一个金融市场:ICICI证券公司 2022-09-09
- 第一共和国银行获得竞争对手300亿美元救助 2022-09-09
