10月5日，美国联邦法院陪审团对Uber前首席安全官Joseph Sullivan一案作出裁定——Sullivan曾试图向美国联邦贸易委员会(FTC)隐瞒Uber在2016年的数据泄露事件。据悉，Sullivan被裁定为妨碍司法公正罪和隐瞒罪行罪，可能面临最高5年和最高3年的监禁。

根据《纽约时报》，这是美国首例企业高管因黑客攻击而面临刑事起诉的案件。但多位安全专家认为，Uber可能并不是唯一一家隐瞒数据泄露事件的企业，事实上向黑客支付赎金的行为并不鲜见。不过，这起判决可能会改变企业安全专业人士处理数据泄露的方式。

黑客攻击后，首席安全官选择支付赎金

作为首席安全官，Sullivan在任上的工作涉及了Uber在2014和2016年遇到的两次数据泄露事件。

Sullivan于2015年4月被聘为Uber首席安全官。在他上任一个月后，FTC就2014年数据泄露事件向Uber提出了民事调查要求。此次事件涉及约5万名消费者的个人信息未经授权访问，包括姓名和驾照号码。Sullivan负责陈述Uber为保护客户数据安全所采取的措施，并在2016年11月4日向FTC进行了宣誓作证。

在作证后十天，2016年11月14日，Sullivan得知Uber再次遭到了黑客攻击。黑客们通过电子邮件直接联系Sullivan，称发现了Uber的安全漏洞并获取了数字密钥，从亚马逊云服务器盗取了大规模用户数据，包括约5700万Uber用户的记录和60万驾照号码，以此勒索大笔赎金。

尽管明知应立即向FTC报告，Sullivan仍然隐瞒下了此事，也没有将其透露给Uber用户或任何其他机构。在谈判后，2016年12月，Sullivan通过比特币向黑客支付了10万美元，并将这笔款项掩饰为漏洞赏金计划的一部分。

作为交换，双方签署了保密协议。据调查，黑客在协议中承诺不会向任何人透露此次数据泄露事件，还做出了“没有获取或存储任何数据”的虚假陈述。2017年1月，Uber安全小组查出了这两名黑客的真实身份，要求他们以真实姓名签署新的保密协议副本。

证据表明，Sullivan知道黑客在攻击和勒索Uber的同时也攻击了其他企业，并至少从其中一些企业获得了数据。后来黑客提交的认罪书表明，在Sullivan协助掩盖了对Uber的攻击之后，黑客还对另一家企业lynda.com进行了攻击和勒索。

2017年秋，Uber的新管理层得知并开始调查这起2016年的数据泄露事件。Sullivan对新CEO和外部律师撒了谎，称黑客在身份被确定后才得到赎金，还试图掩饰信息泄露的严重程度。尽管如此，Uber新管理层仍然推进了调查，并在2017年11月向FTC公开披露了此事。事情曝光后不久，Sullivan被企业解雇。

2018年，Uber与FTC达成协议，承诺维持一项长达20年的隐私计划。2022年7月，Uber和美国检方达成和解协议，检方不对Uber企业进行刑事指控。作为交换，Uber正式承认为2016年数据泄露事件负责，向美国50个州支付1.48亿美元，并承诺在针对Sullivan的案件中“全力合作”，直到10月5日陪审团的正式宣判。

关键词： 优步前高管 优步前高管或因隐瞒数据泄露入狱 前高管隐瞒数据泄露 数据泄露