10月5日，美國聯邦法院陪審團對Uber前首席安全官Joseph Sullivan一案作出裁定——Sullivan曾試圖向美國聯邦貿易委員會(FTC)隱瞞Uber在2016年的數據泄露事件。據悉，Sullivan被裁定為妨礙司法公正罪和隱瞞罪行罪，可能面臨最高5年和最高3年的監禁。

根據《紐約時報》，這是美國首例企業高管因黑客攻擊而面臨刑事起訴的案件。但多位安全專家認為，Uber可能并不是唯一一家隱瞞數據泄露事件的企業，事實上向黑客支付贖金的行為并不鮮見。不過，這起判決可能會改變企業安全專業人士處理數據泄露的方式。

黑客攻擊后，首席安全官選擇支付贖金

作為首席安全官，Sullivan在任上的工作涉及了Uber在2014和2016年遇到的兩次數據泄露事件。

Sullivan于2015年4月被聘為Uber首席安全官。在他上任一個月后，FTC就2014年數據泄露事件向Uber提出了民事調查要求。此次事件涉及約5萬名消費者的個人信息未經授權訪問，包括姓名和駕照號碼。Sullivan負責陳述Uber為保護客戶數據安全所采取的措施，并在2016年11月4日向FTC進行了宣誓作證。

在作證后十天，2016年11月14日，Sullivan得知Uber再次遭到了黑客攻擊。黑客們通過電子郵件直接聯系Sullivan，稱發現了Uber的安全漏洞并獲取了數字密鑰，從亞馬遜云服務器盜取了大規模用戶數據，包括約5700萬Uber用戶的記錄和60萬駕照號碼，以此勒索大筆贖金。

盡管明知應立即向FTC報告，Sullivan仍然隱瞞下了此事，也沒有將其透露給Uber用戶或任何其他機構。在談判后，2016年12月，Sullivan通過比特幣向黑客支付了10萬美元，并將這筆款項掩飾為漏洞賞金計劃的一部分。

作為交換，雙方簽署了保密協議。據調查，黑客在協議中承諾不會向任何人透露此次數據泄露事件，還做出了“沒有獲取或存儲任何數據”的虛假陳述。2017年1月，Uber安全小組查出了這兩名黑客的真實身份，要求他們以真實姓名簽署新的保密協議副本。

證據表明，Sullivan知道黑客在攻擊和勒索Uber的同時也攻擊了其他企業，并至少從其中一些企業獲得了數據。后來黑客提交的認罪書表明，在Sullivan協助掩蓋了對Uber的攻擊之后，黑客還對另一家企業lynda.com進行了攻擊和勒索。

2017年秋，Uber的新管理層得知并開始調查這起2016年的數據泄露事件。Sullivan對新CEO和外部律師撒了謊，稱黑客在身份被確定后才得到贖金，還試圖掩飾信息泄露的嚴重程度。盡管如此，Uber新管理層仍然推進了調查，并在2017年11月向FTC公開披露了此事。事情曝光后不久，Sullivan被企業解雇。

2018年，Uber與FTC達成協議，承諾維持一項長達20年的隱私計劃。2022年7月，Uber和美國檢方達成和解協議，檢方不對Uber企業進行刑事指控。作為交換，Uber正式承認為2016年數據泄露事件負責，向美國50個州支付1.48億美元，并承諾在針對Sullivan的案件中“全力合作”，直到10月5日陪審團的正式宣判。

關鍵詞： 優步前高管 優步前高管或因隱瞞數據泄露入獄 前高管隱瞞數據泄露 數據泄露