Uber前安全長Joe Sullivan因蓄意隱瞞資料外洩事件被起訴

在2015年至2017年間擔任Uber安全長的Joe Sullivan，因為隱瞞了駭客攻擊事件，在本周遭到美國司法部起訴，罪名是妨礙司法及隱匿重大犯罪，最多可能面臨8年的牢獄之災。

根據美國司法部的說明，當Sullivan在2015年接任Uber首任安全長時，美國聯邦交易委員會（FTC）正在調查Uber於2014年的資料外洩事件，而Sullivan當時便負責與FTC交流，但就在Sullivan任內，又發生另一起資料外洩事件，Sullivan卻選擇隱匿不報，而且還支付了價值10萬美元的比特幣予駭客，要求駭客移除所盜走的資料且不得對外聲張。

調查顯示，駭客在2016年成功入侵Uber，盜走了5,700萬名Uber乘客與司機的資料，內含乘客姓名、電子郵件帳號及行動電話號碼，以及60萬名美國Uber司機的駕照資料。

不過，Sullivan非但沒有通知執法機關或FTC，反而與駭客訂下協議，以Uber的抓漏專案為名，支付了10萬美元予駭客，並與駭客訂定保密協議，還在保密協議中註明駭客並未取得或儲存任何Uber用戶資料，且當時Sullivan甚至不知駭客的真實姓名。之後當Uber團隊確認駭客身分之後，Sullivan再度要求駭客重新簽署保密協議，同樣宣稱駭客並未取得Uber用戶個資。

此外，當知情人士詢問Sullivan為何在保密協議中描述錯誤的資訊時，Sullivan依然堅稱駭客未取得Uber用戶資料。

在2016年8月接任Uber執行長的Dara Khosrowshahi，也曾要求Sullivan彙報當年的資料外洩事件，Sullivan修改了團隊成員的簡報，刪除了駭客取得Uber用戶資料等細節，還說他是在確認駭客身分之後才支付贖金的。

Sullivan則在Khosrowshahi查明事實之後於2017年離職，同時也受到美國司法部的調查，在本周正式遭到起訴，罪名為妨礙司法及隱匿重大犯罪。

美國聯邦檢察官David  Anderson指出，矽谷並非蠻荒之地，他們期待良好的企業公民意識，希望企業舉報犯罪行為並協助調查，無法容忍企業的隱匿與私下付款的行為。FBI主管Craig Fair則說，向執法機關隱瞞重大犯罪事件屬於犯罪行為，企業不該協助駭客隱匿犯罪，也不應遮掩駭客竊取他人數據的犯罪企圖。