近日,Uber前首席安全官Joseph Sullivan因其涉嫌参与掩盖2016年黑客针对Uber公司的安全攻击,被美国联邦法院陪审团认定妨碍公务刑事罪名成立。作为美国第一起针对公司高管因外部人员入侵而提起的重大刑事案件,本次审判受到社会各界密切关注。
案件起源于Uber收到的一封匿名电子邮件,两名黑客在邮件中表示其发现了Uber的安全漏洞,使能够利用其遗留的数字密钥进入公司的亚马逊数据库,从而查看并提取超过5000万Uber乘客和60万名司机的未加密备份数据。
在初步沟通后,Sullivan领衔的安全团队试图以Uber漏洞赏金计划的形式向黑客支付最高一万美元的报酬,以换取黑客删除相关数据,但对方表示报酬不得低于六位数美金,并威胁要公布被盗数据。
随后,双方展开了长时间的谈判,并最终以10万美元的价格达成交易协议。在通过各种方式查出黑客的真实身份后,Sullivan也要求其承诺完全销毁盗取的数据,且不会透露双方的交易行为。
但该案最终还是遭到曝光,实施勒索的两名黑客遭到逮捕并对一系列勒索和交易行为供认不讳。负责本案的检察官称,Sullivan满足了黑客的勒索要求,与犯罪分子达成了保密协议,对其违法行为保持沉默。与此同时,其还将对安全勒索的付款行为伪装成漏洞赏金,并为此做出虚假陈述。
此外,Sullivan还向 Uber 时任的首席执行官发送了一封电子邮件,称该事件是常规的“安全事件”,而非严重的数据泄露。
在为期三周的审判之后,美国联邦法院在本周三做出了裁决,作为一名前旧金山网络犯罪检察官,历任Facebook、Uber和Cloudflare等多家大型企业的安全主管,Sullivan面临妨碍司法罪的五年监禁,以及另一项未报告重罪的三年监禁。
事实上,由于大部分网络安全团队在应对黑客事件的问题上的模糊态度,类似于Sullivan支付安全赎金的事件屡见不鲜。
Bugcrowd创始人Casey Ellis明确表明,绝不止Uber一家公司利用漏洞赏金计划掩盖了根据法律法规,本应披露的安全问题。[阅读原文]
发表评论
您还未登录,请先登录。
登录