10月5日,美國聯邦法院陪審團對Uber前首席安全官Joseph Sullivan一案作出裁定——Sullivan曾試圖向美國聯邦貿易委員會(FTC)隱瞞Uber在2016年的數據泄露事件。據悉,Sullivan被裁定為妨礙司法公正罪和隱瞞罪行罪,可能面臨最高5年和最高3年的監禁。
根據《紐約時報》,這是美國首例企業高管因黑客攻擊而面臨刑事起訴的案件。但多位安全專家認為,Uber可能并不是唯一一家隱瞞數據泄露事件的企業,事實上向黑客支付贖金的行為并不鮮見。不過,這起判決可能會改變企業安全專業人士處理數據泄露的方式。
黑客攻擊后,首席安全官選擇支付贖金
優步前安全主管Joseph Sullivan。圖自Timothy Archibald
作為首席安全官,Sullivan在任上的工作涉及了Uber在2014和2016年遇到的兩次數據泄露事件。
Sullivan于2015年4月被聘為Uber首席安全官。在他上任一個月后,FTC就2014年數據泄露事件向Uber提出了民事調查要求。此次事件涉及約5萬名消費者的個人信息未經授權訪問,包括姓名和駕照號碼。Sullivan負責陳述Uber為保護客戶數據安全所采取的措施,并在2016年11月4日向FTC進行了宣誓作證。
在作證后十天,2016年11月14日,Sullivan得知Uber再次遭到了黑客攻擊。黑客們通過電子郵件直接聯系Sullivan,稱發現了Uber的安全漏洞并獲取了數字密鑰,從亞馬遜云服務器盜取了大規模用戶數據,包括約5700萬Uber用戶的記錄和60萬駕照號碼,以此勒索大筆贖金。
盡管明知應立即向FTC報告,Sullivan仍然隱瞞下了此事,也沒有將其透露給Uber用戶或任何其他機構。在談判后,2016年12月,Sullivan通過比特幣向黑客支付了10萬美元,并將這筆款項掩飾為漏洞賞金計劃的一部分。
作為交換,雙方簽署了保密協議。據調查,黑客在協議中承諾不會向任何人透露此次數據泄露事件,還做出了“沒有獲取或存儲任何數據”的虛假陳述。2017年1月,Uber安全小組查出了這兩名黑客的真實身份,要求他們以真實姓名簽署新的保密協議副本。
證據表明,Sullivan知道黑客在攻擊和勒索Uber的同時也攻擊了其他企業,并至少從其中一些企業獲得了數據。后來黑客提交的認罪書表明,在Sullivan協助掩蓋了對Uber的攻擊之后,黑客還對另一家企業lynda.com進行了攻擊和勒索。
2017年秋,Uber的新管理層得知并開始調查這起2016年的數據泄露事件。Sullivan對新CEO和外部律師撒了謊,稱黑客在身份被確定后才得到贖金,還試圖掩飾信息泄露的嚴重程度。盡管如此,Uber新管理層仍然推進了調查,并在2017年11月向FTC公開披露了此事。事情曝光后不久,Sullivan被企業解雇。
2018年,Uber與FTC達成協議,承諾維持一項長達20年的隱私計劃。2022年7月,Uber和美國檢方達成和解協議,檢方不對Uber企業進行刑事指控。作為交換,Uber正式承認為2016年數據泄露事件負責,向美國50個州支付1.48億美元,并承諾在針對Sullivan的案件中“全力合作”,直到10月5日陪審團的正式宣判。
Sullivan先生上個月自舊金山聯邦法院離開。圖自Jim Wilson/紐約時報
根據加州北區司法部網站,這起案件的審判經歷了四周,最后由6男6女組成的陪審團花了多于19個小時才做出一致裁決。Sullivan可能面臨妨礙司法公正罪最高5年的監禁,和隱瞞罪行罪最高3年的監禁,最終判決將在晚些時候確定。在判決之前,Sullivan暫時處于保釋期間。
Sullivan的律師David Angeli并不認同這個判決結果。他辯護說:“Sullivan先生的唯一關注點是,在這次事件中以及在他整個杰出的職業生涯中,他都在確保人們在互聯網上的個人數據安全。”
判決將使高管重新思考如何處理數據泄露
負責此案的檢察官和聯邦調查局(FBI)探員向公眾傳達了明確的信息——企業高管隱瞞數據泄露是一件無法容忍的事情。
“這次判決傳達的信息很明確:存儲客戶數據的企業有責任保護這些數據,并在泄露發生時采取正確的措施。”FBI舊金山特別探員主管Robert K. Tripp表示,“FBI和我們的政府合作伙伴不會允許流氓科技企業高管為了一己之私,將美國消費者的個人信息置于危險之中。”
負責此案的聯邦檢察官Stephanie M. Hinds也表示:“加州北區的科技企業收集并存儲了大量用戶數據,我們希望這些企業保護這些數據,并在被黑客竊取時提醒客戶和有關當局。我們不會容忍更關心保護自己和雇主聲譽而非保護用戶的企業高管向公眾隱瞞重要信息。一旦這種行為違反了聯邦法律,就會受到起訴。”
然而,將支付贖金宣判為違法,真的能阻止企業高管隱瞞數據泄露事件嗎?許多專家對此持悲觀態度。
盡管這是美國首例支付網絡安全贖金案,Uber可能并不是唯一一家這么做以掩蓋數據泄露事件的企業。Bugcrowd創始人Casey Ellis稱,絕不止Uber一家企業利用漏洞賞金計劃,掩蓋了依法本應披露的數據安全問題。
在Sullivan的案件中,檢察官認為,與黑客簽訂的保密協議是他參與掩蓋事實的證據。然而根據《華盛頓郵報》,在Sullivan被解雇后的五年里,企業向黑客支付贖金已成為慣例——隨著平均賠付額超過Sullivan所付的十萬美元、達到數十萬,越來越多的企業轉向安全公司或保險公司以尋求處理這些交易。安全公司Critical Insight創始人Michael Hamilton認為:“向黑客支付漏洞勒索贖金,實際上比大眾所認知的更為普遍。”
FBI也曾表示,禁止支付贖金實際上并不能阻止企業這么做。相反,這將使“敲詐者又多了一根棍子來控制他們的受害者”。因此,在正式勸阻這種做法的同時,FBI表示,如果不違反與俄羅斯相關的制裁措施,他們將不會追究這些人和企業的責任。
事實上,一些安全專家對Sullivan表示出同情。他們認為,雖然Sullivan所做的不一定是正確或完美的,但誰也無法保證這種事不會發生在自己身上。安全高管應如何在企業決策中承擔個人責任,仍然有待探索。
不過,這起判決很可能會改變企業安全專業人士處理數據泄露的方式,比如責任分配方式、漏洞賞金計劃的設計等等。
“這個案子肯定會讓高管、事件響應者和其他任何與決定是否支付或披露贖金有關的人更努力地思考他們的法律義務。”安全公司Emsisoft的Brett Callow說:“這并不是一件壞事。現在,有太多的事情發生在暗處,缺乏透明度會破壞網絡安全工作。”
【來源: 南方都市報】
