中文字幕亚洲欧美日韩在线不卡,亚洲欧美日产综合在线网性色,思思久久精品6一本打道,综合视频中文字幕

10月5日，美國聯(lián)邦法院陪審團(tuán)對Uber前首席安全官Joseph Sullivan一案作出裁定——Sullivan曾試圖向美國聯(lián)邦貿(mào)易委員會（FTC）隱瞞Uber在2016年的數(shù)據(jù)泄露事件。據(jù)悉，Sullivan被裁定為妨礙司法公正罪和隱瞞罪行罪，可能面臨最高5年和最高3年的監(jiān)禁。

根據(jù)《紐約時(shí)報(bào)》，這是美國首例企業(yè)高管因黑客攻擊而面臨刑事起訴的案件。但多位安全專家認(rèn)為，Uber可能并不是唯一一家隱瞞數(shù)據(jù)泄露事件的企業(yè)，事實(shí)上向黑客支付贖金的行為并不鮮見。不過，這起判決可能會改變企業(yè)安全專業(yè)人士處理數(shù)據(jù)泄露的方式。

黑客攻擊后，首席安全官選擇支付贖金

優(yōu)步前安全主管Joseph Sullivan。圖自Timothy Archibald

作為首席安全官，Sullivan在任上的工作涉及了Uber在2014和2016年遇到的兩次數(shù)據(jù)泄露事件。

Sullivan于2015年4月被聘為Uber首席安全官。在他上任一個(gè)月后，F(xiàn)TC就2014年數(shù)據(jù)泄露事件向Uber提出了民事調(diào)查要求。此次事件涉及約5萬名消費(fèi)者的個(gè)人信息未經(jīng)授權(quán)訪問，包括姓名和駕照號碼。Sullivan負(fù)責(zé)陳述Uber為保護(hù)客戶數(shù)據(jù)安全所采取的措施，并在2016年11月4日向FTC進(jìn)行了宣誓作證。

在作證后十天，2016年11月14日，Sullivan得知Uber再次遭到了黑客攻擊。黑客們通過電子郵件直接聯(lián)系Sullivan，稱發(fā)現(xiàn)了Uber的安全漏洞并獲取了數(shù)字密鑰，從亞馬遜云服務(wù)器盜取了大規(guī)模用戶數(shù)據(jù)，包括約5700萬Uber用戶的記錄和60萬駕照號碼，以此勒索大筆贖金。

盡管明知應(yīng)立即向FTC報(bào)告，Sullivan仍然隱瞞下了此事，也沒有將其透露給Uber用戶或任何其他機(jī)構(gòu)。在談判后，2016年12月，Sullivan通過比特幣向黑客支付了10萬美元，并將這筆款項(xiàng)掩飾為漏洞賞金計(jì)劃的一部分。

作為交換，雙方簽署了保密協(xié)議。據(jù)調(diào)查，黑客在協(xié)議中承諾不會向任何人透露此次數(shù)據(jù)泄露事件，還做出了“沒有獲取或存儲任何數(shù)據(jù)”的虛假陳述。2017年1月，Uber安全小組查出了這兩名黑客的真實(shí)身份，要求他們以真實(shí)姓名簽署新的保密協(xié)議副本。

證據(jù)表明，Sullivan知道黑客在攻擊和勒索Uber的同時(shí)也攻擊了其他企業(yè)，并至少從其中一些企業(yè)獲得了數(shù)據(jù)。后來黑客提交的認(rèn)罪書表明，在Sullivan協(xié)助掩蓋了對Uber的攻擊之后，黑客還對另一家企業(yè)lynda.com進(jìn)行了攻擊和勒索。

2017年秋，Uber的新管理層得知并開始調(diào)查這起2016年的數(shù)據(jù)泄露事件。Sullivan對新CEO和外部律師撒了謊，稱黑客在身份被確定后才得到贖金，還試圖掩飾信息泄露的嚴(yán)重程度。盡管如此，Uber新管理層仍然推進(jìn)了調(diào)查，并在2017年11月向FTC公開披露了此事。事情曝光后不久，Sullivan被企業(yè)解雇。

2018年，Uber與FTC達(dá)成協(xié)議，承諾維持一項(xiàng)長達(dá)20年的隱私計(jì)劃。2022年7月，Uber和美國檢方達(dá)成和解協(xié)議，檢方不對Uber企業(yè)進(jìn)行刑事指控。作為交換，Uber正式承認(rèn)為2016年數(shù)據(jù)泄露事件負(fù)責(zé)，向美國50個(gè)州支付1.48億美元，并承諾在針對Sullivan的案件中“全力合作”，直到10月5日陪審團(tuán)的正式宣判。

Sullivan先生上個(gè)月自舊金山聯(lián)邦法院離開。圖自Jim Wilson/紐約時(shí)報(bào)

根據(jù)加州北區(qū)司法部網(wǎng)站，這起案件的審判經(jīng)歷了四周，最后由6男6女組成的陪審團(tuán)花了多于19個(gè)小時(shí)才做出一致裁決。Sullivan可能面臨妨礙司法公正罪最高5年的監(jiān)禁，和隱瞞罪行罪最高3年的監(jiān)禁，最終判決將在晚些時(shí)候確定。在判決之前，Sullivan暫時(shí)處于保釋期間。

Sullivan的律師David Angeli并不認(rèn)同這個(gè)判決結(jié)果。他辯護(hù)說：“Sullivan先生的唯一關(guān)注點(diǎn)是，在這次事件中以及在他整個(gè)杰出的職業(yè)生涯中，他都在確保人們在互聯(lián)網(wǎng)上的個(gè)人數(shù)據(jù)安全?！?/p>

判決將使高管重新思考如何處理數(shù)據(jù)泄露

負(fù)責(zé)此案的檢察官和聯(lián)邦調(diào)查局（FBI）探員向公眾傳達(dá)了明確的信息——企業(yè)高管隱瞞數(shù)據(jù)泄露是一件無法容忍的事情。

“這次判決傳達(dá)的信息很明確：存儲客戶數(shù)據(jù)的企業(yè)有責(zé)任保護(hù)這些數(shù)據(jù)，并在泄露發(fā)生時(shí)采取正確的措施?！盕BI舊金山特別探員主管Robert K. Tripp表示，“FBI和我們的政府合作伙伴不會允許流氓科技企業(yè)高管為了一己之私，將美國消費(fèi)者的個(gè)人信息置于危險(xiǎn)之中?！?br/>

負(fù)責(zé)此案的聯(lián)邦檢察官Stephanie M. Hinds也表示：“加州北區(qū)的科技企業(yè)收集并存儲了大量用戶數(shù)據(jù)，我們希望這些企業(yè)保護(hù)這些數(shù)據(jù)，并在被黑客竊取時(shí)提醒客戶和有關(guān)當(dāng)局。我們不會容忍更關(guān)心保護(hù)自己和雇主聲譽(yù)而非保護(hù)用戶的企業(yè)高管向公眾隱瞞重要信息。一旦這種行為違反了聯(lián)邦法律，就會受到起訴?！?br/>

然而，將支付贖金宣判為違法，真的能阻止企業(yè)高管隱瞞數(shù)據(jù)泄露事件嗎？許多專家對此持悲觀態(tài)度。

盡管這是美國首例支付網(wǎng)絡(luò)安全贖金案，Uber可能并不是唯一一家這么做以掩蓋數(shù)據(jù)泄露事件的企業(yè)。Bugcrowd創(chuàng)始人Casey Ellis稱，絕不止Uber一家企業(yè)利用漏洞賞金計(jì)劃，掩蓋了依法本應(yīng)披露的數(shù)據(jù)安全問題。

在Sullivan的案件中，檢察官認(rèn)為，與黑客簽訂的保密協(xié)議是他參與掩蓋事實(shí)的證據(jù)。然而根據(jù)《華盛頓郵報(bào)》，在Sullivan被解雇后的五年里，企業(yè)向黑客支付贖金已成為慣例——隨著平均賠付額超過Sullivan所付的十萬美元、達(dá)到數(shù)十萬，越來越多的企業(yè)轉(zhuǎn)向安全公司或保險(xiǎn)公司以尋求處理這些交易。安全公司Critical Insight創(chuàng)始人Michael Hamilton認(rèn)為：“向黑客支付漏洞勒索贖金，實(shí)際上比大眾所認(rèn)知的更為普遍。”

FBI也曾表示，禁止支付贖金實(shí)際上并不能阻止企業(yè)這么做。相反，這將使“敲詐者又多了一根棍子來控制他們的受害者”。因此，在正式勸阻這種做法的同時(shí)，F(xiàn)BI表示，如果不違反與俄羅斯相關(guān)的制裁措施，他們將不會追究這些人和企業(yè)的責(zé)任。

事實(shí)上，一些安全專家對Sullivan表示出同情。他們認(rèn)為，雖然Sullivan所做的不一定是正確或完美的，但誰也無法保證這種事不會發(fā)生在自己身上。安全高管應(yīng)如何在企業(yè)決策中承擔(dān)個(gè)人責(zé)任，仍然有待探索。

不過，這起判決很可能會改變企業(yè)安全專業(yè)人士處理數(shù)據(jù)泄露的方式，比如責(zé)任分配方式、漏洞賞金計(jì)劃的設(shè)計(jì)等等。

“這個(gè)案子肯定會讓高管、事件響應(yīng)者和其他任何與決定是否支付或披露贖金有關(guān)的人更努力地思考他們的法律義務(wù)?！卑踩綞msisoft的Brett Callow說：“這并不是一件壞事。現(xiàn)在，有太多的事情發(fā)生在暗處，缺乏透明度會破壞網(wǎng)絡(luò)安全工作?！?br/>

綜合/編譯：實(shí)習(xí)生程雨祺 南都記者蔣琳