週四,美國叫車軟體Uber(優步)前安全主管Joe Sullivan被判處三年緩刑。此前陪審團於2022年判定其犯有妨礙司法調查、非法掩蓋Uber資料盜竊案的罪名。
事情要從2016年Uber的重大安全漏洞說起,當時有兩名駭客使用盜竊的憑據非法訪問儲存在亞馬遜S3儲存服務上的Uber備份檔案,其中包含5700萬名乘客以及司機的詳細資訊。兩人於2016年11月聯絡了Uber並以此索要10萬美元的贖金。
當時為了掩蓋資料洩露的醜聞,Uber前安全主管Joe Sullivan與駭客談判達成協定,雙方決定將這筆付給入侵者的勒索贖金偽裝成對白帽駭客的漏洞賞金,使該安全事件看起來像是典型的漏洞披露,而不是資料洩露。
2016年12月,Uber透過其HackerOne漏洞賞金計劃向這二人分別支付了5萬美元。在這之前他們已與Uber簽署了一份保密協議,承諾會刪除這些資料。這兩名駭客後來於2019年認罪,承認曾攻擊、勒索包括優步和領英在內的多個知名機構。
一直到2017年11月,Uber才公佈關於此事的資料洩露通知。這個時候該公司已就此事與美國各州達成了1.48億美元的和解協議,並向英國和荷蘭的資料保護機構支付了100多萬美元的罰款。
“向執法部門隱瞞有關重罪的資訊是一種犯罪,”美國聯邦調查局負責此案的人員說道,“我們希望公司不要幫助犯罪駭客掩蓋他們的蹤跡。不要讓客戶的問題變得更糟,也不要掩蓋竊取人們個人資料的犯罪企圖。”
上個月底,美國聯邦官員敦促法官以妨害司法罪判處Joe Sullivan 15個月監禁。但最終舊金山的法官只判處了該Uber前首席安全官三年緩刑以及200小時的社群服務。
編輯:左右裡
資訊來源:theregister
轉載請註明出處和本文連結