前优步安全主管因隐瞒2016年的漏洞而面临刑事指控

联邦检察官指控优步(Uber)前安全主管乔·沙利文(Joe Sullivan)妨碍司法公正，因为他向联邦贸易委员会(Federal Trade Commission)调查人员隐瞒了2016年的数据泄露事件。沙利文现在是Cloudflare的首席安全官。

在一份通过电子邮件发送的声明中，沙利文的一位发言人表示，政府的指控没有任何可取之处。

这位发言人写道，从一开始，沙利文和他的团队就根据优步的书面政策，与优步的法律、沟通和其他相关团队密切合作。这些政策清楚地表明，优步的法律部门--而不是沙利文先生或他的团队--负责决定是否应该向谁披露此事。

周四提起的刑事起诉书表明，优步当时的首席执行官特拉维斯·卡兰尼克(Travis Kalanick)知道这起入侵事件，沙利文也意识到了掩盖这一事件的努力。该公司还承认，优步的总法律顾问可能在2017年4月之前就知道了这一违规事件。但它辩称，沙利文让其他参与优步联邦贸易委员会对这一事件的反应的人蒙在鼓里。

2014年，在黑客发现一名优步工程师意外在GitHub上发布的优步源代码中硬编码的云存储凭据后，优步遭遇了数据泄露。凭据提供了访问存储在亚马逊S3云存储服务上的实时数据的权限。黑客获得了大约10万名优步司机的姓名和驾照号码，以及数量少得多的银行账户和社保号码。

这起入侵事件引发了联邦贸易委员会(Federal Trade Commission)的调查。2016年11月，联邦贸易委员会采访了沙利文。在担任Facebook首席安全官五年后，他于2015年加入优步(我们曾在2013年和2014年采访过他)，所以在2014年的入侵事件中，他并不在场。但作为优步的新任安全主管，他的工作是向联邦贸易委员会的调查人员解释情况。

根据刑事起诉书，沙利文阐述说，在当时，当代码需要从另一个服务调用信息时，直接将访问ID和其他秘密写入代码是很常见的。

作证10天后，沙利文得知优步遭遇了第二次入侵，几乎是第一次入侵的重演。这一次，据报道，一名黑客窃取了凭证，以获取优步在GitHub上的私人代码。而且该代码仍然有一些硬编码的AmazonS3凭据。黑客获得了大约60万个名字和司机的驾照号码。

优步的安全团队立即意识到，在美国联邦贸易委员会(FTC)仍在调查第一起入侵事件的时候宣布第二起入侵事件将是令人尴尬的。一份内部文件称，信息极其敏感，我们需要严格控制这些信息。

因此，优步决定将这起入侵事件作为其漏洞赏金计划的一部分。根据该计划，优步向白帽黑客支付有关其软件漏洞的信息。通常情况下，支付不到10,000美元，黑客不应该利用漏洞来访问用户数据。在漏洞赏金案例中，一旦优步修复了漏洞，黑客就可以公开披露漏洞。

但优步的律师为这些黑客写了一份特殊的合同。为了换取不寻常的10万美元赔偿，黑客签署了一份严格的保密协议。该协议要求黑客虚假地声明他们没有访问任何用户数据。

据检察官称，卡兰尼克知道这一计划。11月15日凌晨1点，沙利文给卡兰尼克发了短信。他写道：我有一些敏感的事情，如果你有时间的话，我想告诉你最新情况。

十分钟后-想必是在一次电话交谈之后-卡兰尼克给沙利文回了短信。需要确定他拥有什么，对此的敏感性/曝光率，以及他可以真正将此视为🐛赏金情况的信心。资源可以是灵活的，以便将其放在床上，但我们需要非常严密地记录这一点。"；

整整一年后，联邦贸易委员会才得知2016年的入侵事件。卡兰尼克于2017年6月被迫辞去优步首席执行官一职，几个月后由首席执行官达拉·科斯罗沙希(Dara Khosrowshahi)接替。当Khosrowshahi得知这一情况后，他解雇了沙利文，并向联邦贸易委员会报告了新的违规事件。联邦贸易委员会撤回了一份暂定和解协议，调查又拖延了一年，直到2018年该案最终达成和解。

联邦政府表示，优步的掩盖行为可能阻止了执法部门更早地将黑客绳之以法。在这起入侵事件和优步披露这起事件之间的一年里，这两家公司使用了类似的技术对其他几家大公司进行了黑客攻击。如果优步及时报告这起入侵事件，联邦调查局可能会更早抓到黑客，并将其他一些公司从同样的命运中拯救出来。

政府的申诉并没有指控沙利文直接向联邦贸易委员会撒谎。但它将沙利文描绘成优步努力将联邦贸易委员会蒙在鼓里的策划者。

沙利文的新闻声明表明，他将通过辩称自己不是优步处理这一情况的个人责任来反击这些指控。政府的简报承认，卡兰尼克也知道入侵事件的发生，并授权向黑客支付一笔异常大的款项，以保密。但政府声称，优步的其他人很少知道这件事。

例如，优步在2017年4月发给联邦贸易委员会的一封信的草稿征求了沙利文的意见。它吹捧优步与该机构的合作记录，包括自愿向该机构提交相关信息的做法。作为回应，沙利文写道，我觉得这封信没问题。

这封信的最终版本吹捧了优步自2014年入侵事件以来实施的新安全措施，包括对其存储在S3数据存储中的数据(Uber]存储在S3数据存储中的数据，以及全公司范围内在凭证保护和管理方面的改进，提供了广泛的额外保护)。

政府起诉书的作者、联邦调查局特工马里奥·斯库塞尔(Mario Scus Sel)写道，根据我的调查，我不相信负责起草4月19日致联邦贸易委员会信件的任何人都知道2016年的数据泄露事件。但在脚注中，他回避了这一宽泛的声明，承认优步的总法律顾问可能知道发生了泄露事件。他补充说，我没有看到任何证据表明总法律顾问知道细节，比如攻击的性质或被盗的PII。