Uber 数据泄露事件的掩盖：前安全主管约瑟夫沙利文被判刑

关键要点

前Uber首席安全官约瑟夫沙利文因掩盖2016年安全漏洞而被判处三年缓刑，并罚款50000美元，需完成200小时的社区服务。沙利文被定罪为妨碍司法与隐瞒已发生的联邦重罪。2016年漏洞导致5700万用户数据泄露，其中包括60万名驾驶员的驾照号码。检方认为沙利文的案件代表了政府与网络安全行业之间关系的紧张。政府希望与私营部门加强合作，以便更有效地应对网络安全问题。

约瑟夫沙利文，一个曾任Uber的首席安全官，因涉及掩盖2016年网络安全漏洞而于5月4日被判处三年缓刑，并需支付50000美元的罚款，同时还要完成200小时的社区服务。沙利文被法院认定为妨碍司法，并隐瞒了一起联邦重罪的相关知识。这起2016年11月的安全漏洞导致5700万用户的数据被泄露，其中包括60万名驾驶员的驾照号码。

美国检察官办公室表示，沙利文试图隐瞒漏洞事件并对公众和联邦贸易委员会保持沉默。检方指出，沙利文通过一种漏洞奖励计划，安排支付10万美元的比特币给攻击者，试图掩盖该事件，并要求黑客签署保密协议，承诺保持沉默。检方最初请求对沙利文判处15个月的联邦监禁。

让CISO们寝食难安的案件

沙利文的逮捕、起诉和判刑对企业高层产生了震动。高管们对Uber案件表示担忧，认为这是美国政府过度干预的表现。对于网络安全行业的许多人来说，沙利文案暗示了私营与公共部门之间的对立关系。

然而，近期主要的网络安全执法机构尝试与私营部门建立合作关系。网络安全与基础设施安全局CISA和FBI呼吁私营部门的事件响应团队在调查过程中将联邦机构纳入其中。

近期合作的一个例子是FBI对Hive勒索软件组织的网站和服务器进行的打击。CISA和FBI因与受到勒索软件影响的医院和学校合作而获得赞誉，通过提供Hive解密密钥，阻止它们向黑客支付数百万美元的赎金。

在2023年RSA大会上，美国副总检察长丽莎摩纳哥与前CISA局长克里斯克雷布斯在主题演讲中讨论了沙利文案件。

一元机场最新地址

Krebs询问摩纳哥，政府对沙利文的起诉与其希望“合作建立伙伴关系”的信息之间的矛盾。“在网络安全行业中，大家对这一案件感到很多不安和担忧，认为可能破坏了信任关系，而司法部已削弱了FBI和网络安全社区之间的信任，”Krebs说。“您是否担心因此损失了一些东西，今后再有人进行漏洞赏金支付时，可能不会再联系您？”

摩纳哥强调，沙利文案件与破坏信任无关，而是对掩盖行为的起诉。

“乔沙利文依法接受审判，在审判中因妨碍联邦贸易委员会的程序与对重罪的错误陈述而被定罪。这意味着他明知他人实施了重罪。[乔沙利文]的行为是故意的，经过审判证明，陪审团作出了这样的发现。这与CSO或合规官在极度压力下犯下的错误是非常不同的，”她表示。

“我想强调的是，这种行为是有意为之，陪审团已对此作出了裁定。