隐瞒数据泄露，前优步CSO面临重罪指控

近日，美国联邦大陪审团指控优步(Uber)的前首席安全官(CSO)约瑟夫·沙利文(Joseph Sullivan)犯有三项电汇欺诈罪，此前沙利文因隐瞒2016年的大规模数据泄露事件而被起诉。

现年52岁的沙利文2015年4月至2017年11月期间担任优步的CSO，目前还面临2020年八月被指控的妨碍司法公正和叛国罪等重罪指控。如果这些罪名成立，沙利文将面临最高8年的监禁和50万美元的罚款。

检察官声称沙利文向当局隐瞒和误导2016年的数据泄露事件，该事件暴露了5700万乘客的个人信息，其中包括约60万名优步司机的驾照等信息。

在这次数据泄露事件中，沙利文最引人注目的“骚操作”是通过漏洞赏金计划向黑客支付了价值10万美元的比特币。

在联邦贸易委员会(FTC)就此次泄露事件展开调查时，沙利文提供了书面答复并提供了宣誓作证。在他向FTC作证大约十天后，2016年11月14日，这位CSO收到了一封来自攻击者的电子邮件，通知他另一次网络攻击。这位优步前CSO选择了掩盖事件，向黑客支付了巨额“封口费”。

事后，沙利文还指示黑客销毁数据。不仅如此，沙利文甚至还寻求与攻击者签订保密协议(NDA)，要求他们发布虚假消息称没有信息或数据被泄露。

事件最终以两名黑客身份败露落入法网告终，但是根据2019年10月美国司法部的新闻稿，由于沙利文未能及时披露优步数据事件，导致两名黑客继续作案成功入侵了其他公司和用户。

2018年，优步向50个州和哥伦比亚特区支付了1.48亿美元的和解金。尽管如此，对沙利文的单独刑事指控仍在继续。如果2020年的指控成立，沙利文将面临最高8年的监禁和50万美元的罚款。

目前担任Cloudflare首席安全官的沙利文的出庭日期尚未确定。

“存储他人个人信息的机构必须遵守法律，”加利福尼亚北区代理美国检察官斯蒂芬妮·海因兹说，沙利文曾在那里担任联邦检察官。

“当发生这样的黑客攻击时，州法律要求通知受害者，”Hinds说。联邦法律还要求企业对政府的官方调查作出如实回答。起诉书称，沙利文两者都没有做到。

“我们指控沙利文伪造文件以逃避通知受害者的义务，并向FTC隐瞒数据泄露的严重性，所有这些都是为了让他的公司受益。”

原文来源：GoUpSec

“投稿联系方式：孙中豪 010-82992251 sunzhonghao@cert.org.cn”