前优步高管受审 安全官员担忧黑客攻击责任问题——《华尔街日报》

乘客在加利福尼亚州圣何塞机场等候优步车辆。2016年，黑客窃取了约5700万条优步记录，其中许多包含私人数据。图片来源：劳拉·莫顿/华尔街日报针对优步科技公司一名前高管涉及2016年黑客事件的联邦审判，引发了网络安全专业人士对他们面对攻击者或试图与之谈判时可能承担责任的担忧。

前高管约瑟夫·沙利文因涉嫌向声称发现优步系统安全漏洞的黑客支付款项，于周三在旧金山开始接受刑事妨碍司法审判。

联邦检察官指控沙利文先生犯有刑事妨碍罪，称其策划掩盖安全漏洞，并试图隐瞒以避免必要的披露。

沙利文先生对指控表示不认罪，其律师称公司通过合法的"漏洞赏金"渠道向黑客支付费用。漏洞赏金是许多公司采用的机制，用于奖励发现系统安全漏洞的外部研究人员。

此案引起了沙利文先生众多同行的关注。这位曾在脸书和易趣公司工作、现任互联网公司Cloudflare首席安全官（目前休假中）的前联邦检察官，曾是硅谷安全领域备受尊敬的人物。部分同行认为，此案是对安全疏失或非黑即白挑战可能面临刑事处罚的试金石。

身份验证公司Okta Inc.的网络安全高级总监马克·罗杰斯表示，关于如何应对网络事件的决策几乎总是由高层领导协商一致做出，而非首席安全官单方面决定。

“另一方面，首席安全官是安全事务的象征性人物，往往也是责任承担者。”他补充道。

前AT&T Inc.首席安全官爱德华·阿莫罗索指出，许多顶级安全官员认为沙利文先生并无过错。

“将乔所做的报告决定刑事化无助于推动”行业发展，他表示，“这应该是安全界公开讨论的议题，而非法庭裁决的对象。”

安全专业人员正面临来自国家支持的黑客和全球犯罪团伙日益增长的威胁。区块链分析公司Chainalysis数据显示，2020年企业向勒索软件供应商支付了至少6.92亿美元，这类软件可使攻击者在收到赎金前瘫痪企业网络。继2020年软件公司SolarWinds Corp.遭黑客攻击后，投资者对该司及其管理层（包括安全总监蒂姆·布朗）提起了集体诉讼。

与沙利文联系的黑客窃取了约5700万条含私人数据的记录，并索要10万美元赎金。法庭记录显示，沙利文团队未将该事件视为数据泄露，而是作为安全研究人员报告漏洞的案例处理。据Bugcrowd Inc.估算，企业每年在漏洞赏金计划上的支出约1亿美元，该公司专门协助建立此类计划。

优步最终让黑客加入了公司的漏洞赏金计划（安全研究人员通过该计划报告漏洞以获取报酬），并用比特币向他们支付了10万美元。根据黑客签署的认罪协议，在获得报酬前，黑客必须签署一份保密协议，证明他们已经销毁了相关数据。

检方认为，这些保密协议是掩盖事件行动的一部分。

安全专家和执法官员表示，尽管美国各州都有数据泄露通知法，但公司对某些安全事件保持沉默是常见做法，尤其是在数据被滥用的证据难以找到的情况下。但2016年底，优步处于一个不寻常的境地。联邦贸易委员会正在调查优步此前的一起安全事件。检方称，沙利文先生没有向联邦贸易委员会报告这第二次黑客攻击，违反了法律。

“这是一个关于掩盖、收买和谎言的案件，”司法部律师安德鲁·道森在周三的开庭陈述中表示。

2019年，下载数据的两名男子——布兰登·查尔斯·格洛弗和瓦西里·梅雷亚克雷——对黑客攻击和勒索指控认罪。沙利文先生于2017年11月被优步解雇，并于2020年被指控妨碍联邦贸易委员会的调查。周三联系到的优步发言人拒绝对审判发表评论。

2016年11月14日，黑客最初写信给优步，称他们在公司网站上发现了一个漏洞，并要求优步为他们的工作提供“高额补偿”。

据沙利文先生的律师大卫·安杰利透露，包括时任首席执行官特拉维斯·卡兰尼克在内的30多名优步员工及公司法律团队参与了该事件的应对工作。安杰利周三在法庭上表示，与美国联邦贸易委员会的沟通由公司法律部门处理，而非沙利文先生。

安杰利称，为团队提供法律咨询的优步律师告知他们，若黑客删除数据并签署保密协议，此事可视为漏洞赏金计划，无需作为数据泄露事件上报。

保密协议使优步和沙利文得以追踪黑客。安杰利表示，为签署协议，优步使用了Adobe Sign软件，该软件记录的"电子指纹"帮助公司锁定了攻击者。

黑客承诺删除所有数据并在入侵后签署了保密协议。但根据其中一名黑客签署的认罪协议，法庭记录中被称为"一号人物"的第三方也获取了这些数据。

“我们要求一号人物删除其持有的副本，他虽承诺照办，但我无法确定他是否履行。“黑客格洛弗先生在认罪协议中陈述。

致信罗伯特·麦克米伦，邮箱：[email protected]

刊载于2022年9月9日印刷版，标题为《优步黑客案庭审引发争议》