近日，Uber就2016年一起黑客攻擊事件與美國(guó)司法部達(dá)成不起訴協(xié)議，其代價(jià)就是，Uber同意幫助美國(guó)司法部起訴其前首席安全官Sullivan。

2016年，黑客對(duì)Uber進(jìn)行攻擊，訪問(wèn)了私有源代碼存儲(chǔ)庫(kù)并竊取了訪問(wèn)密鑰，約有5700萬(wàn)用戶記錄和60萬(wàn)駕照號(hào)碼的數(shù)據(jù)被黑客竊取。為了讓這一事件不擴(kuò)散，當(dāng)時(shí)的Uber首席安全官Sullivan以安全漏洞賞金的名義向黑客支付了價(jià)值10萬(wàn)美元的比特幣，并與黑客簽訂了保密協(xié)議。

保密協(xié)議中注明，該黑客并未獲取或存儲(chǔ)任何Uber用戶資料——而在當(dāng)時(shí)，Sullivan甚至都不知道黑客的真實(shí)姓名。當(dāng)Uber團(tuán)隊(duì)確認(rèn)黑客身份之后，Sullivan還要求黑客重新簽署了保密協(xié)議。

這一攻擊事件恰好發(fā)生在FTC對(duì)Uber公司進(jìn)行數(shù)據(jù)調(diào)查期間，最終Uber選擇隱瞞這起發(fā)生在2016年11月的大規(guī)模數(shù)據(jù)泄露事件，也因此差點(diǎn)被司法部起訴。

2017 年 11 月，在前 CEO Travis Kalanick 和新任 CEO Dara Khosrowshahi 離職后，Uber 通知 FTC 并解雇了 Sullivan。2018 年，它與歐盟委員會(huì)達(dá)成和解，同意維持一項(xiàng)包括外部審計(jì)在內(nèi)的隱私計(jì)劃。它還與美國(guó) 50 個(gè)州的訴訟進(jìn)行和解，支付了1.48億美元。

2020 年8月，美國(guó)司法部對(duì)Sullivan提起刑事訴訟 ，罪名是妨礙司法公正和隱瞞重罪。2021 年12月，司法部又提出了電話欺詐的新指控，原因是未能告知優(yōu)步司機(jī)，他們的駕駛執(zhí)照已被泄露。

Uber一直在配合此次起訴，并將根據(jù)最新和解條款繼續(xù)進(jìn)行。該公司已同意提供任何材料和證人，以幫助司法部起訴Sullivan。作為回報(bào)，Uber及其附屬公司擺脫了與 2016 年數(shù)據(jù)泄露相關(guān)的任何起訴。

但這并不意味著Uber之后就萬(wàn)事大吉了。

歐洲刑警組織數(shù)據(jù)保護(hù)專家網(wǎng)絡(luò)成員 Ilia Kolochenko 警告稱，Uber 仍可能面臨私人民事訴訟。“為了避免這種不良情況，公司應(yīng)該認(rèn)真對(duì)待隱私和數(shù)據(jù)泄露，考慮他們?cè)谒羞m用法律和法規(guī)下的職責(zé)和義務(wù)。制定深思熟慮的數(shù)據(jù)泄露響應(yīng)計(jì)劃，其中包括與內(nèi)部和外部法律團(tuán)隊(duì)、媒體和投資者的快速互動(dòng)，對(duì)于最大限度地減少不可預(yù)防的數(shù)據(jù)泄露造成的聲譽(yù)和財(cái)務(wù)損失至關(guān)重要?！?/p>

參考來(lái)源：https://www.infosecurity-magazine.com/news/uber-hacking-case-doj/