据华尔街日报报道,一名优步公司前高管因公司在2016年遭遇的黑客攻击事件现面临联邦审判,这引起了网络安全专业人士的担忧,他们担心自己在面对攻击者或与攻击者的谈判时可能面临着责罚。
周三,前优步高管约瑟夫·沙利文(Joseph Sullivan)在旧金山开始的审判中面临刑事阻挠指控,因为他在向声称发现了优步系统中的安全漏洞的黑客付款的事件中发挥了作用。
联邦检察官指控沙利文犯有妨碍公务罪,称他策划掩盖了优步的安全漏洞,并试图掩盖漏洞以避免按规定披露。
沙利文对这些指控不认罪,他的律师说,优步公司通过合法的“漏洞赏金”渠道向黑客付款。漏洞赏金是许多公司使用的一种途径,他们向发现系统内安全漏洞的外部研究人员支付报酬。
苏利文曾是联邦检察官,曾在Facebook和eBay公司工作,是硅谷安全界备受尊敬的人物,此案引起了许多同行的注意。他目前是互联网公司Cloudflare的首席安全官,现在正在休假中。沙利文的一些同行说,他们将此案视为可能面临刑事处罚的考验,因为安全漏洞或挑战并不总是黑白分明的。
身份验证公司Okta的网络安全高级主管马克·罗杰斯(Marc Rogers)说,关于如何应对网络事件的决定几乎总是由高层领导达成共识,而不是由首席安全官单方面做出。
罗杰斯说:“另一方面,首席安全官是安全的形象代言人,而且往往是负责的人。”
曾任AT&T公司首席安全官的爱德华·阿莫罗索(Edward Amoroso)说,许多顶级安全官员认为沙利文没有做错什么。
他说:“对乔(约瑟夫的简称)所做的报告决定进行定罪,无助于推动这一行业。这应该是整个安全社区的公开辩论,而不是在法庭上。“
安全专业人员面临着来自国家支持的黑客和世界各地的犯罪分子攻击的越来越多的威胁。区块链分析公司Chainalysis的数据显示,在2020年,各家公司至少向被称为勒索软件的传播者支付了6.92亿美元,这种软件允许攻击者关闭企业网络,直到攻击者收到付款。在2020年软件公司SolarWinds被黑之后,投资者对这家公司及其高管层提出了集体诉讼,其中包括SolarWinds安全主管蒂姆·布朗(Tim Brown)。
与沙利文联系的黑客下载了约5700万条记录,其中许多是私人数据,并要求支付10万美元。根据法庭记录,沙利文团队没有把这一事件当作数据泄露,而是当作安全研究人员报告安全漏洞的一个例子。根据帮助建立这些项目的Bugcrowd的估计,公司每年在漏洞赏金项目上花费约1亿美元。
优步公司最终让黑客参与了公司的漏洞赏金计划,在这一计划中,安全研究人员报告缺陷以获得报酬,公司以比特币形式向他们支付了10万美元。记录显示,在他们获得报酬之前,黑客们必须签署一份保密协议,证明他们已经销毁了有关数据。
检察官认为,保密协议是掩盖这一事件的一部分。
安全专家和执法官员说,虽然美国各州都有违规通知法,但公司对一些安全事件保持沉默是很常见的,尤其是在数据被滥用的证据难以找到的情况下。但在2016年底,优步处于一个不寻常的处境中。联邦贸易委员会正在调查优步早前发生的安全事件。检察官说,沙利文没有告诉联邦贸易委员会关于第二次黑客攻击的情况,这违反了法律。
司法部律师安德鲁·道森(Andrew Dawson)在周三的法庭开庭辩论中说:“这是一个关于掩盖、回报和谎言的案件。”
2019年,下载数据的两名男子布兰登·查尔斯·格洛弗(Brandon Charles Glover)和瓦西里·梅雷亚克(Vasile Mereacre)对黑客和敲诈指控表示认罪。沙利文于2017年11月被优步解雇,并在2020年被指控妨碍联邦贸易委员会的调查。周三,华尔街日报联系到优步发言人,他拒绝对此次审判发表评论。
2016年11月14日,黑客们最初写信给优步,说他们发现了优步公司网站的一个漏洞,他们要求优步为他们的工作提供“高额补偿”。
沙利文的律师大卫·安吉利(David Angeli)说,优步的其他30多名优步员工,包括当时的首席执行官特拉维斯·卡兰尼克(Travis Kalanick)和公司的法律团队,都参与了优步对这起事件的回应。安吉利周三在法庭上说,与联邦贸易委员会的沟通由优步公司的法律部门处理,而并非由沙利文处理。
安吉利说,为团队提供建议的优步律师告诉他们,如果黑客删除了数据并签署了保密协议,那么这件事可以作为漏洞赏金处理,不属于可报告的数据泄露。
这些保密协议使优步和沙利文能够找到黑客。安吉利说,为了签署保密协议,优步使用了名为Adobe Sign的软件,这个软件记录了一个“电子指纹”,使优步公司能够找到攻击者。
黑客们承诺删除所有数据,并在漏洞发生后签署了保密协议。但其中一名黑客签署的认罪协议显示,在法庭记录中被称为“个人一号”的第三人也有机会接触到这些数据。
黑客格洛弗在认罪协议中说:“我们要求‘个人一号’删除他的副本,他说他会这么做,但我不能确定他是否这么做了。”
