掩盖黑客窃取用户信息事件,Uber 前首席安全官遭指控
美国司法部官员表示,前优步(Uber )首席执行官(CSO) Joe Sullivan就安全漏洞向管理层撒谎,并向黑客支付了巨款。
周四,优步前首席安全官因掩盖公司2016年的安全漏洞而被起诉,其间黑客窃取了5700万优步客户的个人详细信息和60万名优步司机的详细信息。
北加州检察官指控52岁的Joe Sullivan,他在2015年4月至2017年11月担任Uber首席运营官,当时Uber更换了CEO和大部分管理团队。
根据法院文件,司法部官员声称,Sullivan“在2016年的泄密事件上,故意采取了隐瞒、转移和误导联邦贸易委员会的步骤。”
美国加利福尼亚州北区检察官David Anderson在今天的新闻发布会上在讲话中说,Sullivan通过向当局和管理层隐藏Uber黑客,间接地帮助黑客入侵了其他公司。
Anderson说:“该办公室于去年指控了黑客,他们对此表示认罪。” “在认罪时,黑客承认使用了与优步黑客事件类似的技术攻击其他公司。
Anderson说:“如果Sullivan及时报告了Uber黑客事件,那么其他公司的其他黑客事件就可以避免。”
2016年Uber黑客攻击是如何展开
但是,要了解幕后发生的事情,我们必须结合美国司法部今天提出的细节,以及美国司法部针对Uber黑客案的法院文件,他们分别是来自佛罗里达州的26岁美国人Brandon Glover和来自多伦多的23岁加拿大人Vasile Mereacre。
对于这两组文档,在两名黑客使用定制工具获得对GitHub帐户的访问权限之后,发生了Uber黑客攻击。
Glover和Mereacre专门针对大型公司的员工帐户,访问了他们的GitHub个人资料,然后在员工的项目中搜索敏感的密码和凭据。
这就是这两个黑客如何获取Uber后端基础架构的Amazon Web Services(AWS)凭证的方式,他们在那里找到并随后下载了5700万Uber客户和600,000 Uber司机的详细信息。
根据法庭文件,这两个黑客通过电子邮件与Sullivan接触,声称他们“发现了一个重大漏洞”,提供了被盗数据的样本,然后要求支付100,000美元的比特币以揭示该公司的安全漏洞。
今天公布的法庭文件显示,Sullivan在11月14日收到此电子邮件时,刚刚向FTC提交了有关2014年安全漏洞的书面证词,在此期间,黑客窃取了大约50,000名驾驶员的姓名和驾驶执照。
检察官说,Sullivan和他的安全团队在收到电子邮件后的24小时内确认了黑客的样本数据的有效性,但Sullivan没有向FTC通知这一新的安全漏洞,而是同意向黑客支付“保密费”。
今天提交的法院文件显示,Sullivan与当时的优步首席执行官Travis Kalanick就安全漏洞进行了对话,Kalanick批准了黑客以漏洞悬赏计划的形式获得赎金。
调查人员说,Sullivan继续执行该计划,并安排黑客即使不知道其真实姓名也签署保密协议。签署了最初的合同,并于2016年12月通过公司的HackerOne漏洞赏金计划发放。
但是,美国检察官说,当Uber的安全团队追踪并发现了这两名黑客时,Sullivan没有通知当局,而是让这两名黑客以真实姓名重新签署了保密协议。
此外,美国司法部的投诉还声称,Sullivan坚持要求黑客签署一份合同,声称他们没有获取Uber的任何数据,因为该声明是虚假的。
美国司法部今天在新闻稿中说:“当一名优步员工向Sullivan询问这个虚假承诺时,Sullivan坚持说该语言应遵守保密协议。”
新管理进来,暴露黑客
事情随后平静下来,但直到2017年8月,Uber董事会罢免了Kalanick并由Dara Khosrowshahi取代他。
美国司法部说,Sullivan已将2016年的安全事件通知了新的管理团队,但仍继续掩盖这一黑客行为。
司法部说:“特别是,Sullivan未能向新的管理团队提供有关违规行为的关键细节。” “ 2017年9月,Sullivan通过电子邮件向Uber的新任首席执行官介绍了2016年的事件。Sullivan要求他的团队准备该事件的摘要,但在收到摘要摘要后,他对其进行了编辑。他的编辑删除了有关黑客已经采取并错误地声称只有在识别出黑客之后才付款。”
但是,尽管问题得到了解决,但新的优步首席执行官于2017年11月向公众披露了这一违规行为。在此披露之后,联邦调查局进行了调查,该调查迅速查明并逮捕了黑客,两人均于2019年10月认罪。
在FBI调查并获得公司内部沟通渠道的同时,他们也开始了解Sullivan在掩盖2016年违规行为中的作用。
Anderson今天说:“硅谷不是狂野的西部。” “我们期望良好的企业公民身份。我们期望迅速举报犯罪行为。我们期望与我们的调查合作。我们不会容忍公司的掩盖行为。我们不会容忍非法的秘密付款。”
但是,前优步CSO发言人今天在一条消息中说,司法部的案子没有法律依据。
“ 针对Sullivan先生的指控毫无根据,Sullivan是一位受人尊敬的网络安全专家和前美国助理检察官。此案的核心是优步的一项数据安全调查,该调查由一个由一些世界顶尖安全专家组成的跨职能大型团队进行,如果不是Sullivan先生及其团队的努力,很可能根本不会查明负责此事件的人员,从一开始,Sullivan先生及其团队就与根据公司的书面政策,Uber的法律,沟通和其他相关团队明确表示,Uber的法律部门(而非Sullivan先生或他的团队)负责决定是否以及与谁合作,此事应予以披露。”
Sullivan今天因与2016年黑客和随后的掩盖行为有关而被指控妨碍司法公正和缓期执行。如果两项指控均被判有罪,Sullivan将分别面临最高五年和三年的监禁。
正如NPR今天指出的那样,在担任优步(Uber)的公民社会组织(CSO)之前,Sullivan之前曾在负责今天的同一家办公室担任助理美国检察官,起诉计算机黑客犯罪
