優步的前首席安全官周四被指控掩蓋該公司2016年的安全漏洞，其間黑客竊取了5700萬優步客戶的個人詳細信息和60萬名優步司機的詳細信息。

優步的前首席安全官周四被指控掩蓋該公司2016年的安全漏洞，其間黑客竊取了5700萬優步客戶的個人詳細信息和60萬名優步司機的詳細信息。

北加州的檢察官指控現年52歲的喬·沙利文（Joe Sullivan），他在2015年4月至2017年11月擔任Uber營運長，當時Uber更換了CEO和大部分管理團隊。

根據法庭文件，司法部官員聲稱，沙利文「採取了蓄意的步驟來掩蓋，偏轉和誤導聯邦貿易委員會關於[2016年]違約的行為。」

美國加利福尼亞北區檢察官戴維·安德森（David Anderson）在今天的新聞發布會上（見下面的視頻）在講話中說，沙利文通過向當局和管理層隱藏Uber黑客，間接地幫助黑客破壞了其他公司。

安德森說：「該辦公室於去年指控了黑客，他們對此表示認罪。」

在認罪的過程中，黑客承認使用與Uber黑客使用的技術類似的技術來入侵其他公司。

安德森說：「如果沙利文及時報告了Uber黑客事件，那麼其他公司的其他黑客事件就可以避免。」

2016年Uber駭客如何展開

但是要了解幕後發生的事情，我們必須結合美國司法部今天提出的細節以及美國司法部針對Uber黑客案的法院文件-即26歲的布蘭登·格洛弗（Brandon Glover），佛羅里達州的美國人和23歲的Vasile Mereacre。

來自多倫多的加拿大人。對於這兩組文檔，在兩名黑客使用定製工具獲得對GitHub帳戶的訪問權限之後，發生了Uber黑客攻擊。Glover和Mereacre專門針對大型公司的員工帳戶，訪問了他們的GitHub個人資料，然後在員工的項目中搜索敏感的密碼和憑據。這就是這兩個黑客如何獲取Uber後端基礎架構的Amazon Web Services（AWS）憑證的方式，他們在此處找到並隨後下載了5700萬Uber客戶和600,000 Uber驅動程序的詳細信息。

根據法庭文件，這兩個黑客通過電子郵件與Sullivan聯絡，聲稱他們「發現了一個重大漏洞」，提供了被盜數據的樣本，然後要求支付100,000美元的比特幣以揭示該公司的安全漏洞。今天開封的法院文件顯示，沙利文在11月14日收到此電子郵件時，剛剛向FTC提交了有關2014年安全漏洞的書面證詞，在此期間，黑客竊取了大約50,000名駕駛員的姓名和駕駛執照。

檢察官說，沙利文和他的安全團隊在收到電子郵件後的24小時內確認了黑客的樣本數據的有效性，但沙利文沒有向FTC通知這一新的安全漏洞，而是同意向黑客支付「保密費」。今天提交的法院文件顯示，沙利文與當時的優步執行長特拉維斯·卡蘭尼克（Travis Kalanick）就安全漏洞進行了對話，卡蘭尼克（Kalanick）允許黑客以漏洞賞金計劃支出的形式獲得贖金。

調查人員說，沙利文繼續執行該計劃，並安排黑客即使不知道其真實姓名也簽署保密協議。簽署了最初的合同，並於2016年12月通過公司的HackerOne錯誤賞金計劃支付了賞金。但是，美國檢察官說，當Uber的安全團隊追蹤並發現了這兩名黑客時，沙利文沒有通知當局，而是讓這兩名黑客以真實姓名重新簽署了保密協議。

此外，美國司法部的投訴還聲稱，沙利文堅持要求黑客簽署一份合同，聲稱他們沒有獲取Uber的任何數據，因為該聲明是虛假的。美國司法部今天在新聞稿中說：「當一名優步員工向沙利文詢問這個虛假承諾時，沙利文堅持說該語言應遵守保密協議。」

新管理進來，暴露黑客事情隨後平靜下來，但直到2017年8月，Uber董事會罷免了Kalanick並由Dara Khosrowshahi取代他。美國司法部說，沙利文已將2016年的安全事件通知了新的管理團隊，但仍繼續掩蓋這一黑客行為。

司法部說：「特別是，沙利文未能向新的管理團隊提供有關違規行為的關鍵細節。」「 2017年9月，Sullivan通過電子郵件向Uber的新任執行長介紹了2016年的事件。Sullivan要求他的團隊準備該事件的摘要，但在收到摘要摘要後，他對其進行了編輯。他的編輯刪除了有關黑客已經採取並錯誤地聲稱只有在識別出黑客之後才付款。」

但是儘管問題得到了解決，但新的Uber CEO還是在2017年11月向公眾披露了這一漏洞.FBI進行了調查，迅速查明並逮捕了這些黑客，兩人都在2019年10月認罪。在FBI調查並獲得公司內部溝通渠道的同時，他們也開始了解Sullivan在掩蓋2016年違規行為中的作用。安德森今天說：「矽谷不是狂野的西部。」

「我們期望良好的企業公民身份。我們期望迅速舉報犯罪行為。我們期望與我們的調查合作。我們不會容忍公司的掩蓋行為。我們不會容忍非法的秘密付款。」

沙利文今天因與2016年駭客和隨後的掩蓋行為有關而被指控妨礙司法公正和重罪重罪。如果兩項指控均被判有罪，沙利文將分別面臨最高五年和三年的監禁。正如NPR今天指出的那樣，在擔任優步（Uber）的公民社會組織（CSO）之前，沙利文（Sullivan）之前曾在負責今天的同一家辦公室擔任助理美國檢察官，起訴計算機黑客犯罪兩年。