据美国司法部消息,近日,Uber就2016年一起涉及约5700万用户记录和60万驾照号码的数据泄露事件与联邦检察官达成不起诉协议。Uber在协议中承认曾向联邦贸易委员会(FTC)刻意隐瞒这一事件。
这份协议由美国检察官Stephanie M. Hinds和联邦调查局特工负责人Sean Ragan联合公布。Uber在协议中承认,尽管2015至2017年间,FTC正在公司进行数据安全调查,他们仍然选择隐瞒这起发生在2016年11月的大规模数据泄露事件。
美国司法部披露,黑客使用窃取的凭据访问了Uber的私有源代码存储库并拿到了访问密钥,之后使用该密钥访问复制了用户与司机的大量数据,其中包括约5700条用户记录和60万驾照号码。
事实上,早在2014年9月,Uber就曾遭遇过黑客入侵。FTC随后对此事件展开调查,并要求Uber就相关问题进行书面回复,时任Uber首席安全官的Joe Sullivan被指派为专员处理此次调查。
2016年11月14日,在提交证词10天后,Sullivan就收到了黑客的一封邮件,通知他Uber数据库再次遭到攻击。为了以合法的方式确保黑客不声张此事,Sullivan以安全漏洞赏金的名义向黑客支付了价值10万美元的比特币,并与黑客签订了保密协议。保密协议中注明,该黑客并未获取或存储任何Uber用户资料——而在当时,Sullivan甚至都不知道黑客的真实姓名。当Uber团队确认黑客身份之后,Sullivan还要求黑客重新签署了保密协议。
协议指出,直到大约一年后,新的领导层接管公司时,Uber才向FTC报告了这一违规行为。
2017年8月,新任Uber首席执行官的Dara Khosrowshahi曾要求Sullivan汇报2016年的事件,但Sullivan修改了汇报简报,删除了黑客取得Uber用户资料等细节。最后,新的领导层查清了这一数据泄露事件,并披露给受影响的司机、用户、执法部门以及国内外监管机构。据彭博社报道,Khosrowshahi曾在一份电子邮件中写道:“这一切都不应该发生,我不会为此找借口。”
Uber新领导层应对数据泄露事件的积极态度成了此次达成不起诉协议的关键因素之一。协议提到,Uber的新领导团队迅速自查并且披露了该事件,并且投入了大量资源进行重大重组和增强公司的合规、法律和安全职能。
同时,Uber为了达成不起诉协议,同意在20年内向FTC及其他政府部门及时报告任何数据入侵事件,并同意实施企业诚信计划,设立具体的数据安全保障措施、事件响应和数据泄露通知计划,以及为期两年的评估。
此外,Uber因此事向美国50个州和哥伦比亚特区支付了1.48亿美元的和解金。南都记者梳理发现,Uber还向英国和荷兰的数据保护机构支付了总计120万美元的罚款。
另一方面,Uber数据泄露事件的核心人物Sullivan在Khosrowshahi查明事实后离职。2020年8月,美国司法部宣布,Sullivan因妨碍司法和故意隐瞒重罪被起诉。如果罪名成立,Sullivan将面临最高八年的监禁和50万美元的罚款。
去年12月,美国司法部又对Sullivan追加了“电信欺诈”的指控。根据起诉书,Sullivan在得知数据泄露发生后,采取了各种措施向个人信息被泄露的司机隐瞒此事,确保其无法获悉该事件的真实性质和严重程度,该行为被指控为涉嫌电信欺诈——如果罪名成立,Sullivan将面临最高20年的监禁和25万美元的罚款。
目前,涉案的两名黑客已经被捕,两人已经被美国加州北区联邦法院起诉并认罪。美国司法部在此前的申诉中指出,因Sullivan故意隐瞒使得执法人员没有注意到之前的数据泄露事件,黑客又再次成功入侵了其他公司的用户数据库。
两名黑客分别面临最高五年监禁和每人25万美元的罚款,目前还在等待最终宣判。一旦他们被判有罪,Sullivan将因阻挠罪被判处最高五年监禁,并因掩盖他人犯罪被判处最高三年监禁。
综合/编译:实习生韩艳燕 南都记者蒋琳
