全球叫車軟體龍頭 Uber 的前資安長 Joseph Sullivan 被控以比特幣支付價值 10 萬美元封口費給駭客,並逼迫其簽下保密協議,試圖掩蓋 2016 年 Uber 的重大資訊安全漏洞。而且,檢察官指控 Sullivan 沒有向美國聯邦貿易委員會報告這起事件,因此以隱匿重大犯罪及妨害司法公正起訴。
本周四(8/20)檢察官向美國舊金山聯邦地方法院提起刑事訴訟,懷疑約瑟夫 · 沙利文(Joseph Sullivan)涉嫌支付價值近 10 萬美元的比特幣(BTC)給兩名駭客,並要求他們簽署保密協議,以掩蓋 Uber 在 2016 年發生的大規模資安漏洞事件。
沙利文自 2015 年到 2017 年底為止,在全球叫車軟體龍頭 Uber 擔任資安長(Chief Security Officer)。在 2016 年,Uber 發生大型資料外洩事件,沙利文涉嫌掩蓋這起事件。他在進入 Uber 之前,曾任 Facebook 資安長長達五年,現為跨國 IT 公司 Cloudflare 的資安長。
起訴狀中提到,2016 年的資安事件中,約有 5,700 萬乘客及駕駛員的個人身分資訊,以及 60 萬筆 Uber 司機的駕照號碼遭駭。事後,沙利文試圖從 Uber 的「漏洞賞金」計劃(”bug bounty” program)抽出 10 萬美元,以比特幣形式交付兩名駭客作為封口費,而且沙利文堅持要駭客簽下保密協議(NDA)。然而駭客收下比特幣後,仍拒絕透露自己的身分或簽署 NDA,為此,據稱沙利文還「派遣保全人員」追捕他們。
而後 2017 年 8 月交接資安長任務時,沙利文還欺騙了接棒的管理團隊,隱瞞諸多案情的關鍵細節。沙利文透過電子郵件向 Uber 新任資安長說明 2016 年的資安事件,但隱匿了駭客獲取多少資料的具體資訊,並謊稱在識別出駭客身分之後才付款。
延伸閱讀:亞馬遜 AWS 傳駭客攻擊!竊取用戶憑證、挖礦劫持採門羅幣,恐引發數百萬用戶受害
這起事件直到新任管理階層挖掘出真相,才於 2017 年 11 月向聯邦貿易委員會(Federal Trade Commission,FTC)公開披露了違規行為。
而且,檢察官也指控沙利文當時沒有向 FTC 報告這起駭客攻擊事件,因此將以隱匿重犯罪及妨害司法公正罪起訴,分別可能面臨最高三年及五年徒刑。
由於加密貨幣的流動路徑獨立於一般金融之外因此更難以搜查,所以比特幣經常被駭客作為贖金交付的工具,或捲入洗錢等違法行為。針對這次沙利文的案件,聯邦調查局(FBI)主管 Craig Fair 也表示:
向執法人員隱瞞重罪是犯罪行為。
此案是長期企圖妨害執法的極端例子,我們希望企業站出來發聲,不要幫駭客掩蓋事跡 …… 不要掩蓋竊取他人個資的犯罪意圖
📍相關報導📍
反洗錢加重!日本警察廳金融犯罪資料:加密貨幣佔44萬筆中 1.4% 創歷史新高
犯罪|FBI 偵破全球最大盜版網站,主嫌 3000 萬美元贓款全換成 BTC, BCH
「駭」慘推特的 17 歲主謀不認罪!Twitter 恐遭美國 FTC 重罰逾 30 億
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
