首例支付网络安全赎金被控妨碍司法罪案宣判,前Uber高管面临八年牢狱之灾

合规科技吴立洋,实习生仲泽涵 2022-10-08 18:15
三季报表现持续走低,网络安全企业如何走出“增收不增利”困局 推动网络安全和金融服务双向创新,工信部会同银保监会发文促进网络安全保险发展 《网络安全法》首次修订,拟引入最高营业额5%罚金与从业资格禁止处罚

南方财经全媒体 记者吴立洋 实习生仲泽涵 北京报道 

近日,Uber前首席安全官Joseph Sullivan因其涉嫌参与掩盖2016年黑客针对Uber公司的安全攻击,被美国联邦法院陪审团认定妨碍公务刑事罪名成立。作为美国第一起针对公司高管因外部人员入侵而提起的重大刑事案件,本次审判受到社会各界密切关注。

案件起源于Uber收到的一封匿名电子邮件,两名黑客在邮件中表示其发现了Uber的安全漏洞,使能够利用其遗留的数字密钥进入公司的亚马逊数据库,从而查看并提取超过5000万Uber乘客和60万名司机的未加密备份数据。

在初步沟通后,Sullivan领衔的安全团队试图以Uber漏洞赏金计划的形式向黑客支付最高一万美元的报酬,以换取黑客删除相关数据,但对方表示报酬不得低于六位数美金,并威胁要公布被盗数据。

所谓漏洞赏金,是指IT企业面向社会发布的公开安全漏洞悬赏,在合法范围内,任何发现并向公司提交重要安全漏洞的个人或团体,均可申请相应的物质奖励。但值得注意的是,在本次数据泄露事件中,黑客已经非法盗取了Uber公司的数据内容,并实施了勒索行为,其本质显然已脱离“合法”范畴。

随后,双方展开了长时间的谈判,并最终以10万美元的价格达成交易协议。在通过各种方式查出黑客的真实身份后,Sullivan也要求其承诺完全销毁盗取的数据,且不会透露双方的交易行为。

但该案最终还是遭到曝光,实施勒索的两名黑客遭到逮捕并对一系列勒索和交易行为供认不讳。负责本案的检察官称,Sullivan满足了黑客的勒索要求,与犯罪分子达成了保密协议,对其违法行为保持沉默。与此同时,其还将对安全勒索的付款行为伪装成漏洞赏金,并为此做出虚假陈述。

此外,Sullivan还向 Uber 时任的首席执行官发送了一封电子邮件,称该事件是常规的“安全事件”,而非严重的数据泄露。

在为期三周的审判之后,美国联邦法院在本周三做出了裁决,作为一名前旧金山网络犯罪检察官,历任Facebook、Uber和Cloudflare等多家大型企业的安全主管,Sullivan面临妨碍司法罪的五年监禁,以及另一项未报告重罪的三年监禁。

事实上,由于大部分网络安全团队在应对黑客事件的问题上的模糊态度,类似于Sullivan支付安全赎金的事件屡见不鲜。

Bugcrowd创始人Casey Ellis明确表明,绝不止Uber一家公司利用漏洞赏金计划掩盖了根据法律法规,本应披露的安全问题。

“支付漏洞勒索赎金,实际上比大众所认知的更为普遍。”安全公司Critical Insight创始人Michael Hamilton说。

但与之相反的是,近年来美国政府对此类事件表露出更为严厉的态度。

该案检察官表示:“公司有义务保护其所收集的数据,并在这些数据被黑客窃取时提醒客户和当局。有些企业高管更关心自己和雇主的声誉,而非保护用户安全,从而选择对公众隐瞒重要信息,如果这种行为违反了联邦法律,它将被起诉。”

“本次有罪判决所传达的信息是明确的:存储客户数据的公司有责任保护这些数据,并在发生漏洞时依法进行处理。”联邦调查局特别代理主管表示,“我们不会允许科技公司的高管为了自身利益将消费者个人信息置于危险中。”

(作者:吴立洋,实习生仲泽涵 编辑:诸未静)

吴立洋

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926