Uber的前首席安全官因向当局掩盖网络攻击,虽免于入狱但被判处三年缓刑,成为第一位因外部黑客入侵而被判有罪的企业领导人。
在黑客攻击获取Uber的5700万条客户记录(包括姓名和电话号码)后,优步(Uber)的前首席安全官约瑟夫·沙利文(Joseph Sullivan)选择向黑客支付100000美元(79000英镑),以掩盖攻击事件。
他还必须支付50000美元的罚款,并进行200小时的社区服务。
检察官最初要求判处其15个月的监禁。
沙利文还因妨碍联邦贸易委员会的调查而被判有罪。
据《华尔街日报》报道,法官威廉·奥里克(William Orrick)表示,他之所以对沙利文宽大处理,部分原因是这是此类案件中的首例,但也因为他的性格。
他说:“如果有更多的人,人们应该期望在监禁中度过一段时间,不管是什么,我希望这里的每个人都认识到这点。”
法官表示,他认为沙利文并非出于贪婪,而是出于对Uber的忠诚,这与其他白领犯罪不同寻常。
苏利文在事故发生后不久就被Uber解雇,此前他曾担任Cloudflare和Facebook的首席安全官。
他目前是Ukraine Friends的首席执行官,这是一家向乌克兰人民提供人道主义援助的非营利组织。
黑客事件
沙利文于2015年开始担任优步首席安全官。
据美国司法部(DOJ)称,2016年11月,针对Uber的攻击者通过电子邮件向沙利文发送电子邮件,并告诉他,他们窃取了大量的Uber数据,他们将删除这些数据以换取赎金。
为苏利文工作的员工证实,包括5700万Uber用户的记录和60万个驾驶执照号码在内的数据被盗。
由于担心公众的强烈反对,沙利文没有按照法律要求通知美国联邦贸易委员会,而是选择向黑客支付了100,000美元的比特币以换取他们的沉默。
据美国司法部称,沙利文安排工作人员向黑客支付100,000美元,以换取他们签署保密协议,不向任何人透露黑客行为。
这些黑客在2016年12月通过HackerOne获得报酬,伪装成“漏洞赏金”——一种用于支付披露漏洞以便修复漏洞的网络安全研究人员的奖励。
这些黑客随后在2019年面临共谋指控并认罪。
沙利文的审判分裂了网络安全社区
甚至在此案之前,沙利文在网络安全行业就已经是家喻户晓的名字。他在1990年代末与联邦检察官一起处理网络犯罪案件,然后在2002年跳槽到企业安全领域,先是在Facebook担任安全主管,然后是Uber。即使在被Uber解雇后,他还是在次年获得了Cloudfare的顶级安全人员的职位。(他于2022年7月卸任,为审判做准备。)
此案在网络安全界造成了分歧。有同情心的支持者说,沙利文被“不公平地挑出来”和“当替罪羊”。法官收到了180多封信,要求沙利文免于入狱,继续帮助维权者和安全漏洞的受害者。其中一封信由40名现任或前任安全主管签署。
在遭受勒索软件攻击的公司中,付钱给黑客已经司空见惯。其他CISO担心不得不面对法律诉讼。即使他们没有被定罪,也会有精神压力和不断增加的法律费用来对抗。
此外,行业领导者担心入狱时间会对未来晋升为安全官员的人产生寒蝉效应。毕竟,包括Uber当时的首席执行官特拉维斯·卡兰尼克(Travis Kalanick)在内的其他几个人都知道沙利文的意图。在宣判期间,奥里克表示卡兰尼克“至少和沙利文一样有罪”,他没有受到指控令人惊讶。
然而,持不同政见者支持做正确、合法的事情,并指责那些为沙利文辩护的人是“部落主义”。在宣判期间,沙利文承认自己是“一个糟糕的榜样”。