2015 年至 2017 年担任优步首席安全官的乔·沙利文 (Joe Sullivan) 被定罪 2016 年在美国联邦法院掩盖公司的数据泄露事件。

沙利文被指控妨碍联邦贸易委员会（联邦贸易委员会）进行的程序 美国联邦贸易委员会, 美国消费者权利机构), 并隐瞒犯罪, 在法律术语中以特殊名称为人所知的犯罪 误入狱.

陪审团认定他犯有这两项罪行。

We 首先写到 早在 2017 年 XNUMX 月，这起广受关注的法庭案件背后的违规行为，当时有关它的消息最初就出现了。

显然，这次入侵遵循了一个令人失望的熟悉的“攻击链”：

• Uber 有人上传了一堆源代码到 GitHub，但是 不小心包含了一个包含访问凭据的目录。
• 黑客偶然发现了泄露的凭据， 并使用它们访问和浏览托管在亚马逊云中的优步数据。
• 亚马逊服务器因此被破坏泄露了个人信息 超过 50,000,000 名优步乘客和 7,000,000 名司机，包括约 600,000 名司机的驾驶执照号码和 60,000 名司机的社会安全号码 (SSN)。

具有讽刺意味的是，这一违规行为发生在优步正处于 FTC 对其 2014 年遭受的违规行为进行调查的阵痛中。

正如您可以想象的那样，当您正在向监管机构就先前的违规行为做出回应时，并且您试图向当局保证它不会再次发生时，不得不报告大规模的数据泄露......

......必须是难以下咽的药丸。

事实上，2016 年的违规行为一直保持沉默，直到 2017 年 Uber 的新管理层发现了这个故事并承认了这一事件。

就在那时，前一年泄露所有这些客户记录和司机数据的黑客被支付了 100,000 万美元来删除数据并保持沉默：

当然，从监管的角度来看，优步应该立即在全球许多司法管辖区报告这一违规行为，而不是隐瞒一年多。

例如，在英国，信息专员办公室 各种评论 当时：

优步去年 2017 月宣布隐瞒数据泄露事件，引发了对其数据保护政策和道德规范的巨大担忧。 [11-22-10T00:XNUMXZ]

公司始终有责任确定英国公民何时因数据泄露而受到影响，并采取措施减少对消费者的任何伤害。 故意向监管机构和公民隐瞒违规行为可能会给公司带来更高的罚款。 [2017-11-22T17:35Z]

优步已确认其 2016 年 2.7 月的数据泄露事件影响了英国约 2017 万用户帐户。 优步表示，违规行为涉及姓名、手机号码和电子邮件地址。 [11-29-XNUMX]

Naked Security 读者想知道如何在不让事情看起来更糟的情况下支付 100,000 美元的黑客付款，我们 推测:

看看这个故事如何展开将会很有趣——如果当前的 Uber 领导层能够在这个阶段展开它，那就是。 我想您可以将 100,000 美元作为“漏洞赏金支出”包装起来，但这仍然留下了一个问题，即您可以非常方便地决定不需要报告它。

似乎这正是发生的事情：在违规调查中间发生的违规行为被写成“漏洞赏金”，通常取决于以负责任的方式进行的初始披露，而不是以勒索要求的形式。

通常，有道德的漏洞赏金猎人不会首先窃取数据并要求封口费不发布数据，就像如今勒索软件骗子经常做的那样。 相反，有道德的赏金猎人会记录引导他们获取数据的路径以及允许他们访问数据的安全漏洞，并可能下载一个非常小但具有代表性的样本，以使自己确信它确实可以远程检索。 因此，他们不会首先获取数据以用作勒索工具，并且作为漏洞赏金过程的一部分同意的任何潜在公开披露都将揭示安全漏洞的性质，而不是面临风险的实际数据。 （预先安排的“披露”日期是为了让公司有足够的时间自行解决问题，同时设定最后期限以确保他们不会试图将问题隐藏在地毯下。）

对还是错？

对 Uber 违规和掩盖行为的大惊小怪最终导致了对 CSO 本人的指控，他被指控犯有上述罪行。

沙利文的审判持续了不到一个月，于上周末结束。

此案引起了网络安全界的极大兴趣，尤其是因为众多加密货币公司面临黑客窃取数百万或数亿美元的情况，似乎 日益 （和 公然) 愿意遵循一种非常相似的“让我们重写违规历史”的路径。

“把你偷的钱还给我，” 他们乞求，通常是通过被掠夺的加密货币的区块链交换评论，“我们会让你保留相当数量的钱作为漏洞赏金，我们会尽最大努力让执法部门远离你。”

如果以这种方式重写违规历史的最终结果是被盗数据被删除，从而避免了对受害者的任何直接伤害，或者被盗的加密币将永远丢失，那么最终是否证明了这种手段的合理性？

在沙利文的案件中，陪审团经过四天的审议显然决定答案是否定的，并认定他有罪。

量刑日期尚未确定，我们猜测曾担任联邦检察官的沙利文将提出上诉。

注意这个空间，因为这个传奇似乎肯定会变得更有趣......