10月5日,美国联邦法院陪审团对Uber前首席安全官Joseph Sullivan一案作出裁定——Sullivan曾试图向美国联邦贸易委员会(FTC)隐瞒Uber在2016年的数据泄露事件。据悉,Sullivan被裁定为妨碍司法公正罪和隐瞒罪行罪,可能面临最高5年和最高3年的监禁。

根据《纽约时报》,这是美国首例企业高管因黑客攻击而面临刑事起诉的案件。但多位安全专家认为,Uber可能并不是唯一一家隐瞒数据泄露事件的企业,事实上向黑客支付赎金的行为并不鲜见。不过,这起判决可能会改变企业安全专业人士处理数据泄露的方式。

文 / 程雨祺 蒋琳

黑客攻击后,首席安全官选择支付赎金

优步前安全主管Joseph Sullivan。图自Timothy Archibald

作为首席安全官,Sullivan在任上的工作涉及了Uber在2014和2016年遇到的两次数据泄露事件。

Sullivan于2015年4月被聘为Uber首席安全官。在他上任一个月后,FTC就2014年数据泄露事件向Uber提出了民事调查要求。此次事件涉及约5万名消费者的个人信息未经授权访问,包括姓名和驾照号码。Sullivan负责陈述Uber为保护客户数据安全所采取的措施,并在2016年11月4日向FTC进行了宣誓作证。

在作证后十天,2016年11月14日,Sullivan得知Uber再次遭到了黑客攻击。黑客们通过电子邮件直接联系Sullivan,称发现了Uber的安全漏洞并获取了数字密钥,从亚马逊云服务器盗取了大规模用户数据,包括约5700万Uber用户的记录和60万驾照号码,以此勒索大笔赎金。

尽管明知应立即向FTC报告,Sullivan仍然隐瞒下了此事,也没有将其透露给Uber用户或任何其他机构。在谈判后,2016年12月,Sullivan通过比特币向黑客支付了10万美元,并将这笔款项掩饰为漏洞赏金计划的一部分。

作为交换,双方签署了保密协议。据调查,黑客在协议中承诺不会向任何人透露此次数据泄露事件,还做出了“没有获取或存储任何数据”的虚假陈述。2017年1月,Uber安全小组查出了这两名黑客的真实身份,要求他们以真实姓名签署新的保密协议副本。

证据表明,Sullivan知道黑客在攻击和勒索Uber的同时也攻击了其他企业,并至少从其中一些企业获得了数据。后来黑客提交的认罪书表明,在Sullivan协助掩盖了对Uber的攻击之后,黑客还对另一家企业lynda.com进行了攻击和勒索。

2017年秋,Uber的新管理层得知并开始调查这起2016年的数据泄露事件。Sullivan对新CEO和外部律师撒了谎,称黑客在身份被确定后才得到赎金,还试图掩饰信息泄露的严重程度。尽管如此,Uber新管理层仍然推进了调查,并在2017年11月向FTC公开披露了此事。事情曝光后不久,Sullivan被企业解雇。

2018年,Uber与FTC达成协议,承诺维持一项长达20年的隐私计划。2022年7月,Uber和美国检方达成和解协议,检方不对Uber企业进行刑事指控。作为交换,Uber正式承认为2016年数据泄露事件负责,向美国50个州支付1.48亿美元,并承诺在针对Sullivan的案件中“全力合作”,直到10月5日陪审团的正式宣判。

Sullivan先生上个月自旧金山联邦法院离开。图自Jim Wilson/纽约时报

根据加州北区司法部网站,这起案件的审判经历了四周,最后由6男6女组成的陪审团花了多于19个小时才做出一致裁决。Sullivan可能面临妨碍司法公正罪最高5年的监禁,和隐瞒罪行罪最高3年的监禁,最终判决将在晚些时候确定。在判决之前,Sullivan暂时处于保释期间。

Sullivan的律师David Angeli并不认同这个判决结果。他辩护说:“Sullivan先生的唯一关注点是,在这次事件中以及在他整个杰出的职业生涯中,他都在确保人们在互联网上的个人数据安全。”

判决将使高管重新思考如何处理数据泄露

负责此案的检察官和联邦调查局(FBI)探员向公众传达了明确的信息——企业高管隐瞒数据泄露是一件无法容忍的事情。

“这次判决传达的信息很明确:存储客户数据的企业有责任保护这些数据,并在泄露发生时采取正确的措施。”FBI旧金山特别探员主管Robert K. Tripp表示,“FBI和我们的政府合作伙伴不会允许流氓科技企业高管为了一己之私,将美国消费者的个人信息置于危险之中。”

负责此案的联邦检察官Stephanie M. Hinds也表示:“加州北区的科技企业收集并存储了大量用户数据,我们希望这些企业保护这些数据,并在被黑客窃取时提醒客户和有关当局。我们不会容忍更关心保护自己和雇主声誉而非保护用户的企业高管向公众隐瞒重要信息。一旦这种行为违反了联邦法律,就会受到起诉。”

然而,将支付赎金宣判为违法,真的能阻止企业高管隐瞒数据泄露事件吗?许多专家对此持悲观态度。

尽管这是美国首例支付网络安全赎金案,Uber可能并不是唯一一家这么做以掩盖数据泄露事件的企业。Bugcrowd创始人Casey Ellis称,绝不止Uber一家企业利用漏洞赏金计划,掩盖了依法本应披露的数据安全问题。

在Sullivan的案件中,检察官认为,与黑客签订的保密协议是他参与掩盖事实的证据。然而根据《华盛顿邮报》,在Sullivan被解雇后的五年里,企业向黑客支付赎金已成为惯例——随着平均赔付额超过Sullivan所付的十万美元、达到数十万,越来越多的企业转向安全公司或保险公司以寻求处理这些交易。安全公司Critical Insight创始人Michael Hamilton认为:“向黑客支付漏洞勒索赎金,实际上比大众所认知的更为普遍。”

FBI也曾表示,禁止支付赎金实际上并不能阻止企业这么做。相反,这将使“敲诈者又多了一根棍子来控制他们的受害者”。因此,在正式劝阻这种做法的同时,FBI表示,如果不违反与俄罗斯相关的制裁措施,他们将不会追究这些人和企业的责任。

事实上,一些安全专家对Sullivan表示出同情。他们认为,虽然Sullivan所做的不一定是正确或完美的,但谁也无法保证这种事不会发生在自己身上。安全高管应如何在企业决策中承担个人责任,仍然有待探索。

不过,这起判决很可能会改变企业安全专业人士处理数据泄露的方式,比如责任分配方式、漏洞赏金计划的设计等等。

“这个案子肯定会让高管、事件响应者和其他任何与决定是否支付或披露赎金有关的人更努力地思考他们的法律义务。”安全公司Emsisoft的Brett Callow说:“这并不是一件坏事。现在,有太多的事情发生在暗处,缺乏透明度会破坏网络安全工作。”

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。