加州帕洛阿尔托的前优步首席安全官约瑟夫·沙利文(JosephSullivan)受到额外指控。此次攻击暴露了5700万用户和60万司机记录,电汇欺诈已被添加到未决指控列表中。在联邦大陪审团退回的替代起诉书中提出的最新指控增加了先前的妨碍司法和“重罪错误定罪”的指控。优步漏洞2016年10月,未经授权的攻击者获取了5700万优步用户的个人信息和约60万司机的驾照信息。敏感数据是从第三方云提供商的存储桶下载的,并通过滥用Uber工程师无意中发布在代码共享网站上的凭据来访问。据检察官称,沙利文与犯罪黑客达成协议,对违规行为保持沉默,并删除他们持有的被盗数据,以换取向拒绝提供真实姓名的个人支付100,000美元的比特币。涉案的两人随后因与LinkedIn和Uber的攻击有关而被确认、逮捕、起诉和定罪。据称,追溯漏洞赏金Sullivan遵守了敲诈勒索的付款要求,同时将其伪装成漏洞赏金付款,并让黑客做出虚假陈述,作为欺诈性保密协议的一部分。正如美国司法部指出的那样,漏洞赏金的存在是为了激励合法发现和报告安全问题,而不是为了覆盖受损数据的交换。最新消息加州法律要求在该州经营的企业将数据泄露通知居民。电汇欺诈指控源于沙利文涉嫌试图通过未能披露2016年的违规行为来欺骗优步司机。根据检察官的说法,保密协议错误地指出黑客既没有获取也没有存储Uber的数据。此外,沙利文向优步当时最近任命的首席执行官发送了一封电子邮件,称该事件是例行的“安全事件”,而不是(更严重的)数据泄露事件。“当发生这样的黑客攻击时,州法律要求通知受害者,”美国代理检察官斯蒂芬妮·海因兹(StephanieHinds)在一份司法部声明中就这起备受瞩目的案件的最新进展表示。“联邦法律还要求如实回答政府的官方调查。沙利文未能做到这两点,”起诉书称。认真,都是为了丰富他的公司,”Hinds补充道。沙利文被控三项电汇欺诈、妨碍司法公正和误判重罪。电汇欺诈指控的最高刑期高于其他犯罪。因此,Uber已经在调查2014年发生的第二起类似数据泄露事件。2016年的数据泄露事件直到2017年11月才向联邦贸易委员会的消费者或监管机构披露,最终导致联邦贸易委员会受到谴责并达成1.48亿美元的数据泄露和解。2014年早些时候的一次违规泄露了大约100,000名司机的姓名和车牌数据。
