前優步高管受審 安全官員擔憂黑客攻擊責任問題——《華爾街日報》

乘客在加利福尼亞州聖何塞機場等候優步車輛。2016年，黑客竊取了約5700萬條優步記錄，其中許多包含私人數據。圖片來源：勞拉·莫頓/華爾街日報針對優步科技公司一名前高管涉及2016年黑客事件的聯邦審判，引發了網絡安全專業人士對他們面對攻擊者或試圖與之談判時可能承擔責任的擔憂。

前高管約瑟夫·沙利文因涉嫌向聲稱發現優步系統安全漏洞的黑客支付款項，於週三在舊金山開始接受刑事妨礙司法審判。

聯邦檢察官指控沙利文先生犯有刑事妨礙罪，稱其策劃掩蓋安全漏洞，並試圖隱瞞以避免必要的披露。

沙利文先生對指控表示不認罪，其律師稱公司通過合法的"漏洞賞金"渠道向黑客支付費用。漏洞賞金是許多公司採用的機制，用於獎勵發現系統安全漏洞的外部研究人員。

此案引起了沙利文先生眾多同行的關注。這位曾在臉書和易趣公司工作、現任互聯網公司Cloudflare首席安全官（目前休假中）的前聯邦檢察官，曾是硅谷安全領域備受尊敬的人物。部分同行認為，此案是對安全疏失或非黑即白挑戰可能面臨刑事處罰的試金石。

身份驗證公司Okta Inc.的網絡安全高級總監馬克·羅傑斯表示，關於如何應對網絡事件的決策幾乎總是由高層領導協商一致做出，而非首席安全官單方面決定。

“另一方面，首席安全官是安全事務的象徵性人物，往往也是責任承擔者。”他補充道。

前AT&T Inc.首席安全官愛德華·阿莫羅索指出，許多頂級安全官員認為沙利文先生並無過錯。

“將喬所做的報告決定刑事化無助於推動”行業發展，他表示，“這應該是安全界公開討論的議題，而非法庭裁決的對象。”

安全專業人員正面臨來自國家支持的黑客和全球犯罪團伙日益增長的威脅。區塊鏈分析公司Chainalysis數據顯示，2020年企業向勒索軟件供應商支付了至少6.92億美元，這類軟件可使攻擊者在收到贖金前癱瘓企業網絡。繼2020年軟件公司SolarWinds Corp.遭黑客攻擊後，投資者對該司及其管理層（包括安全總監蒂姆·布朗）提起了集體訴訟。

與沙利文聯繫的黑客竊取了約5700萬條含私人數據的記錄，並索要10萬美元贖金。法庭記錄顯示，沙利文團隊未將該事件視為數據泄露，而是作為安全研究人員報告漏洞的案例處理。據Bugcrowd Inc.估算，企業每年在漏洞賞金計劃上的支出約1億美元，該公司專門協助建立此類計劃。

優步最終讓黑客加入了公司的漏洞賞金計劃（安全研究人員通過該計劃報告漏洞以獲取報酬），並用比特幣向他們支付了10萬美元。根據黑客簽署的認罪協議，在獲得報酬前，黑客必須簽署一份保密協議，證明他們已經銷燬了相關數據。

檢方認為，這些保密協議是掩蓋事件行動的一部分。

安全專家和執法官員表示，儘管美國各州都有數據泄露通知法，但公司對某些安全事件保持沉默是常見做法，尤其是在數據被濫用的證據難以找到的情況下。但2016年底，優步處於一個不尋常的境地。聯邦貿易委員會正在調查優步此前的一起安全事件。檢方稱，沙利文先生沒有向聯邦貿易委員會報告這第二次黑客攻擊，違反了法律。

“這是一個關於掩蓋、收買和謊言的案件，”司法部律師安德魯·道森在週三的開庭陳述中表示。

2019年，下載數據的兩名男子——布蘭登·查爾斯·格洛弗和瓦西里·梅雷亞克雷——對黑客攻擊和勒索指控認罪。沙利文先生於2017年11月被優步解僱，並於2020年被指控妨礙聯邦貿易委員會的調查。週三聯繫到的優步發言人拒絕對審判發表評論。

2016年11月14日，黑客最初寫信給優步，稱他們在公司網站上發現了一個漏洞，並要求優步為他們的工作提供“高額補償”。

據沙利文先生的律師大衞·安傑利透露，包括時任首席執行官特拉維斯·卡蘭尼克在內的30多名優步員工及公司法律團隊參與了該事件的應對工作。安傑利週三在法庭上表示，與美國聯邦貿易委員會的溝通由公司法律部門處理，而非沙利文先生。

安傑利稱，為團隊提供法律諮詢的優步律師告知他們，若黑客刪除數據並簽署保密協議，此事可視為漏洞賞金計劃，無需作為數據泄露事件上報。

保密協議使優步和沙利文得以追蹤黑客。安傑利表示，為簽署協議，優步使用了Adobe Sign軟件，該軟件記錄的"電子指紋"幫助公司鎖定了攻擊者。

黑客承諾刪除所有數據並在入侵後簽署了保密協議。但根據其中一名黑客簽署的認罪協議，法庭記錄中被稱為"一號人物"的第三方也獲取了這些數據。

“我們要求一號人物刪除其持有的副本，他雖承諾照辦，但我無法確定他是否履行。“黑客格洛弗先生在認罪協議中陳述。

致信羅伯特·麥克米倫，郵箱：[email protected]

刊載於2022年9月9日印刷版，標題為《優步黑客案庭審引發爭議》