掩飾公司被駭還和歹徒交易，Uber前資安長被定罪

Uber前資安長Joe Sullivan因2016年試圖隱瞞公司被駭，還和駭客協議以免事件曝光，本周被美國聯邦陪審團判決阻撓聯邦交易委員會（FTC）調查及知情不報兩項罪名成立。

Sullivan在2020年遭美國司法部起訴，而在本周由法院做出判決。這也是第一宗公司高層因被駭面臨刑事責任的案件。

本案起於Sullivan處理2014和2016年Uber兩起受駭案件不當。Sullivan 是在2015年4月被Uber從臉書挖角。當時Uber向FTC揭露一樁2014年發生的資料外洩案，駭客駭入該公司客戶資料庫，存取近5萬客戶的個資，包括姓名及駕照資訊。作為公司CSO，Sullivan也在FTC調查時配合調查、對主管機關說明及赴FTC作證。

而在2106年FTC調查期間，Uber又被駭了。2016年11月駭客透過電子郵件找上Sullivan，聲稱取得近5，700萬Uber用戶個資以及60萬筆司機駕照號碼。駭客要求Uber支付10萬美元以換取他們刪除資料。

證據顯示，Sullivan得知2016年被駭一事全未通報FTC及其他主管機關，或是Uber用戶，而是設法掩蓋。他要求此事「絕不能公開」還要求屬下對外宣稱沒有調查一事。之後Sullivan安排付款給駭客，還和駭客簽定保密條款，要求他們承諾不得對外洩露此事，即使他那時還不知道駭客真名。2016年底Uber在他安排下，付給駭客10萬美元的比特幣。2017年1月，Uber終於知道駭客身分，Sullivan又再要求駭客以真名重新簽定保密協定。

Sullivan不但未向Uber律師、法務長以及FTC說明第2次被駭，以及和駭客的交易，連在2017年秋天Uber新管理團隊著手調查2016年被駭一案時，Sullivan也未誠實相告。在新CEO問及時，Sullivan謊稱Uber僅在得知駭客身分時才付款，他還從屬下準備的報告，將駭客取得客戶可辨識身分資料，以及大量用戶資料一事刪除。

但2017年11月Uber新管理團隊終究還是得知此事，並向FTC通報，導致一年前的事件曝光。兩名勒索Uber的駭客於落網，被以串謀電腦詐欺控起訴，也在2019年10月認罪，目前正等待判刑。美國司法部認為，由於獲得Sullivan協助隱瞞，使駭客又得以成功駭入另一家公司Lynda.com並勒索贖金。

美國司法部長Stephanie Hinds指出，科技公司蒐集和儲存大量用戶資訊，應該要善加保護，並且在發生駭客竊取資訊時通知客戶和相關主管機關。Sullivan卻刻意向主管機關FTC隱瞞資料外洩，其所為造成駭客免於落網。司法部不允許這些公司主管重視自身和公司名譽多於保護使用者，此舉已經違法。

法院將擇日宣判Sullivan的刑期。