近日,Uber就2016年一起黑客事件与美国司法部达成不起诉协议,代价是优步同意帮助美国司法部起诉其前首席安全官沙利文官。2016年,黑客攻击了优步,访问了私有源代码存储库并窃取了访问密钥。大约5700万条用户记录和60万个驾照号码被黑客窃取。为了防止事件蔓延,时任优步首席安全官的沙利文以安全漏洞赏金的名义向黑客支付了价值10万美元的比特币,并与黑客签署了保密协议。保密协议指出,黑客没有获取或存储任何优步用户数据——当时,沙利文甚至不知道黑客的真实姓名。当Uber团队查明黑客身份时,沙利文还要求黑客重新签署保密协议。此次攻击发生在FTC对Uber进行数据调查期间,最终Uber选择隐瞒2016年11月发生的大规模数据泄露事件,差点因此被司法部起诉。2017年11月,在前任首席执行官特拉维斯卡兰尼克和新任首席执行官达拉科斯罗萨西离职后,优步通知联邦贸易委员会并解雇了沙利文。2018年,它与欧盟委员会达成和解,同意维持一项包括外部审计在内的隐私计划。它还解决了所有50个州的诉讼,支付了1.48亿美元。2020年8月,美国司法部以妨碍司法公正和隐瞒重罪对沙利文提起刑事指控。2021年12月,司法部以电话欺诈未告知Uber司机他们的驾照已被盗用为由提出新的指控。优步一直在配合诉讼,并将根据最新和解条款继续合作。该公司已同意提供任何材料和证人,以帮助司法部起诉沙利文。作为回报,优步及其附属公司对与2016年数据泄露事件相关的任何起诉不屑一顾。但这并不意味着Uber之后一切都是安全的。欧洲刑警组织数据保护专家网络成员IliaKolochenko警告称,Uber仍可能面临私人民事诉讼。“为避免这种不良情况,公司应认真对待隐私和数据泄露问题,并考虑所有适用法律法规规定的责任和义务。制定周全的数据泄露响应计划,包括与内部和外部法律团队、媒体和投资者的快速互动,对于最大限度地减少不可预防的数据泄露造成的声誉和财务损失至关重要。》参考来源:https://www.infosecurity-magazine.com/news/uber-hacking-case-doj/
