圖片來源: 

Tingey Injury Law Firm on unsplash

Uber前資安長Joe Sullivan因2016年試圖隱瞞公司被駭,還和駭客協議以免事件曝光,本周被美國聯邦陪審團判決阻撓聯邦交易委員會(FTC)調查及知情不報兩項罪名成立

Sullivan在2020年遭美國司法部起訴,而在本周由法院做出判決。這也是第一宗公司高層因被駭面臨刑事責任的案件。

本案起於Sullivan處理2014和2016年Uber兩起受駭案件不當。Sullivan 是在2015年4月被Uber從臉書挖角。當時Uber向FTC揭露一樁2014年發生的資料外洩案,駭客駭入該公司客戶資料庫,存取近5萬客戶的個資,包括姓名及駕照資訊。作為公司CSO,Sullivan也在FTC調查時配合調查、對主管機關說明及赴FTC作證。

而在2106年FTC調查期間,Uber又被駭了。2016年11月駭客透過電子郵件找上Sullivan,聲稱取得近5,700萬Uber用戶個資以及60萬筆司機駕照號碼。駭客要求Uber支付10萬美元以換取他們刪除資料。

證據顯示,Sullivan得知2016年被駭一事全未通報FTC及其他主管機關,或是Uber用戶,而是設法掩蓋。他要求此事「絕不能公開」還要求屬下對外宣稱沒有調查一事。之後Sullivan安排付款給駭客,還和駭客簽定保密條款,要求他們承諾不得對外洩露此事,即使他那時還不知道駭客真名。2016年底Uber在他安排下,付給駭客10萬美元的比特幣。2017年1月,Uber終於知道駭客身分,Sullivan又再要求駭客以真名重新簽定保密協定。

Sullivan不但未向Uber律師、法務長以及FTC說明第2次被駭,以及和駭客的交易,連在2017年秋天Uber新管理團隊著手調查2016年被駭一案時,Sullivan也未誠實相告。在新CEO問及時,Sullivan謊稱Uber僅在得知駭客身分時才付款,他還從屬下準備的報告,將駭客取得客戶可辨識身分資料,以及大量用戶資料一事刪除。

但2017年11月Uber新管理團隊終究還是得知此事,並向FTC通報,導致一年前的事件曝光。兩名勒索Uber的駭客於落網,被以串謀電腦詐欺控起訴,也在2019年10月認罪,目前正等待判刑。美國司法部認為,由於獲得Sullivan協助隱瞞,使駭客又得以成功駭入另一家公司Lynda.com並勒索贖金。

美國司法部長Stephanie Hinds指出,科技公司蒐集和儲存大量用戶資訊,應該要善加保護,並且在發生駭客竊取資訊時通知客戶和相關主管機關。Sullivan卻刻意向主管機關FTC隱瞞資料外洩,其所為造成駭客免於落網。司法部不允許這些公司主管重視自身和公司名譽多於保護使用者,此舉已經違法。

法院將擇日宣判Sullivan的刑期。

熱門新聞

Advertisement