近日,前Uber首席安全官加利福尼亚州帕洛阿尔托的 Joseph Sullivan 因涉嫌参与掩盖2016 年对乘车应用程序的黑客攻击而被增加了额外的指控。该攻击暴露了 5700 万用户和60万条司机记录,电汇欺诈已被列入待决指控名单。
最新的指控在联邦大陪审团返回的替代起诉书中提出,增加了先前对妨碍司法和“重罪误判”的指控。
优步违规
2016年10月,未经授权的攻击者获得了5700万名优步用户的个人信息和约60万名司机的驾照信息。
敏感数据是从第三方云提供商的存储桶下载的,并通过滥用优步工程师无意中发布在代码共享网站上的凭据进行访问。
根据检察官的说法,沙利文与犯罪黑客达成协议,对违规行为保持沉默,并删除他们持有的被盗数据,以换取向拒绝提供真实姓名的个人支付 100,000 美元的比特币。
随后,这两名涉案人员因 LinkedIn和Uber的攻击而被确认、逮捕、指控和定罪。
追溯漏洞赏金
据称,沙利文遵守了敲诈勒索的付款要求,同时将其伪装成漏洞赏金付款,并让黑客做出虚假陈述,作为欺诈性保密协议的一部分。
正如美国司法部所指出的那样,漏洞赏金的存在是为了刺激安全问题的合法发现和报告,而不是为了涵盖受损数据的交换。
最新消息
加利福尼亚州法律要求在该州经营的企业将数据泄露事件通知居民。电汇欺诈指控源于沙利文涉嫌企图通过未能披露 2016 年的违规行为来欺骗优步司机。
据检方称,保密协议错误地说明黑客既没有获取也没有存储优步的数据。此外,沙利文还向 Uber 时任最近任命的首席执行官发送了一封电子邮件,称这起事件是例行的“安全事件”,而不是(更严重的)数据泄露。
“当发生这样的黑客攻击时,州法律要求通知受害者,”美国代理律师斯蒂芬妮·海因兹在美国司法部关于备受关注的案件最新进展的声明中说。“联邦法律还要求对政府的官方调查作出如实回答。起诉书称,沙利文两者都没有做到。
“我们指控沙利文伪造文件以避免通知受害者的义务,并向FTC隐瞒严重数据泄露的严重性,所有这些都是为了充实他的公司,”Hinds 补充道。
沙利文被指控犯有三项电汇欺诈、妨碍司法公正和误判重罪的罪名。电汇欺诈指控的最长监禁期高于其他罪行。
因此,优步在第二次类似的数据泄露时已经就2014年早些时候的违规行为进行了调查。直到2017年11月才向消费者或美国联邦贸易委员会的监管机构披露2016年的违规行为,最终导致谴责并与 FTC达成 1.48 亿美元的数据泄露和解协议。
2014 年早些时候的违规行为导致大约10万名司机的姓名和车牌数据暴露。