因掩盖数据泄露，Uber前首席安全官被判三年缓刑

周四，美国打车软件Uber（优步）前安全主管Joe Sullivan被判处三年缓刑。此前陪审团于2022年判定其犯有妨碍司法调查、非法掩盖Uber数据盗窃案的罪名。

事情要从2016年Uber的重大安全漏洞说起，当时有两名黑客使用盗窃的凭据非法访问存储在亚马逊S3存储服务上的Uber备份文件，其中包含5700万名乘客以及司机的详细信息。两人于2016年11月联系了Uber并以此索要10万美元的赎金。

当时为了掩盖数据泄露的丑闻，Uber前安全主管Joe Sullivan与黑客谈判达成协定，双方决定将这笔付给入侵者的勒索赎金伪装成对白帽黑客的漏洞赏金，使该安全事件看起来像是典型的漏洞披露，而不是数据泄露。

2016年12月，Uber通过其HackerOne漏洞赏金计划向这二人分别支付了5万美元。在这之前他们已与Uber签署了一份保密协议，承诺会删除这些数据。这两名黑客后来于2019年认罪，承认曾攻击、勒索包括优步和领英在内的多个知名机构。

一直到2017年11月，Uber才公布关于此事的数据泄露通知。这个时候该公司已就此事与美国各州达成了1.48亿美元的和解协议，并向英国和荷兰的数据保护机构支付了100多万美元的罚款。

“向执法部门隐瞒有关重罪的信息是一种犯罪，”美国联邦调查局负责此案的人员说道，“我们希望公司不要帮助犯罪黑客掩盖他们的踪迹。不要让客户的问题变得更糟，也不要掩盖窃取人们个人数据的犯罪企图。”

上个月底，美国联邦官员敦促法官以妨害司法罪判处Joe Sullivan 15个月监禁。但最终旧金山的法官只判处了该Uber前首席安全官三年缓刑以及200小时的社区服务。