示意圖。(圖片來源/Uber)

在2015年至2017年間擔任Uber安全長的Joe Sullivan,因為隱瞞了駭客攻擊事件,在本周遭到美國司法部起訴,罪名是妨礙司法及隱匿重大犯罪,最多可能面臨8年的牢獄之災。

根據美國司法部的說明,當Sullivan在2015年接任Uber首任安全長時,美國聯邦交易委員會(FTC)正在調查Uber於2014年的資料外洩事件,而Sullivan當時便負責與FTC交流,但就在Sullivan任內,又發生另一起資料外洩事件,Sullivan卻選擇隱匿不報,而且還支付了價值10萬美元的比特幣予駭客,要求駭客移除所盜走的資料且不得對外聲張。

調查顯示,駭客在2016年成功入侵Uber,盜走了5,700萬名Uber乘客與司機的資料,內含乘客姓名、電子郵件帳號及行動電話號碼,以及60萬名美國Uber司機的駕照資料。

不過,Sullivan非但沒有通知執法機關或FTC,反而與駭客訂下協議,以Uber的抓漏專案為名,支付了10萬美元予駭客,並與駭客訂定保密協議,還在保密協議中註明駭客並未取得或儲存任何Uber用戶資料,且當時Sullivan甚至不知駭客的真實姓名。之後當Uber團隊確認駭客身分之後,Sullivan再度要求駭客重新簽署保密協議,同樣宣稱駭客並未取得Uber用戶個資。

此外,當知情人士詢問Sullivan為何在保密協議中描述錯誤的資訊時,Sullivan依然堅稱駭客未取得Uber用戶資料。

在2016年8月接任Uber執行長的Dara Khosrowshahi,也曾要求Sullivan彙報當年的資料外洩事件,Sullivan修改了團隊成員的簡報,刪除了駭客取得Uber用戶資料等細節,還說他是在確認駭客身分之後才支付贖金的。

Sullivan則在Khosrowshahi查明事實之後於2017年離職,同時也受到美國司法部的調查,在本周正式遭到起訴,罪名為妨礙司法及隱匿重大犯罪。

美國聯邦檢察官David  Anderson指出,矽谷並非蠻荒之地,他們期待良好的企業公民意識,希望企業舉報犯罪行為並協助調查,無法容忍企業的隱匿與私下付款的行為。FBI主管Craig Fair則說,向執法機關隱瞞重大犯罪事件屬於犯罪行為,企業不該協助駭客隱匿犯罪,也不應遮掩駭客竊取他人數據的犯罪企圖。


熱門新聞

Advertisement