离职也逃不掉，Uber协助司法部起诉前CSO

近日，Uber就2016年一起黑客攻击事件与美国司法部达成不起诉协议，其代价就是，Uber同意帮助美国司法部起诉其前首席安全官Sullivan。

2016年，黑客对Uber进行攻击，访问了私有源代码存储库并窃取了访问密钥，约有5700万用户记录和60万驾照号码的数据被黑客窃取。为了让这一事件不扩散，当时的Uber首席安全官Sullivan以安全漏洞赏金的名义向黑客支付了价值10万美元的比特币，并与黑客签订了保密协议。

保密协议中注明，该黑客并未获取或存储任何Uber用户资料——而在当时，Sullivan甚至都不知道黑客的真实姓名。当Uber团队确认黑客身份之后，Sullivan还要求黑客重新签署了保密协议。

这一攻击事件恰好发生在FTC对Uber公司进行数据调查期间，最终Uber选择隐瞒这起发生在2016年11月的大规模数据泄露事件，也因此差点被司法部起诉。

2017年11月，在前CEO Travis Kalanick 和新任CEO Dara Khosrowshahi 离职后，Uber 通知 FTC 并解雇了 Sullivan。2018 年，它与欧盟委员会达成和解，同意维持一项包括外部审计在内的隐私计划。它还与美国 50 个州的诉讼进行和解，支付了1.48亿美元。

2020 年8月，美国司法部对Sullivan提起刑事诉讼 ，罪名是妨碍司法公正和隐瞒重罪。2021 年12月，司法部又提出了电话欺诈的新指控，原因是未能告知优步司机，他们的驾驶执照已被泄露。

Uber一直在配合此次起诉，并将根据最新和解条款继续进行。该公司已同意提供任何材料和证人，以帮助司法部起诉Sullivan。作为回报，Uber及其附属公司摆脱了与 2016 年数据泄露相关的任何起诉。

但这并不意味着Uber之后就万事大吉了。

欧洲刑警组织数据保护专家网络成员 Ilia Kolochenko 警告称，Uber 仍可能面临私人民事诉讼。“为了避免这种不良情况，公司应该认真对待隐私和数据泄露，考虑他们在所有适用法律和法规下的职责和义务。制定深思熟虑的数据泄露响应计划，其中包括与内部和外部法律团队、媒体和投资者的快速互动，对于最大限度地减少不可预防的数据泄露造成的声誉和财务损失至关重要。”

参考来源

https://www.infosecurity-magazine.com/news/uber-hacking-case-doj/