离职也逃不掉，Uber协助司法部起诉前CSO

近日，离职Uber就2016年一起黑客攻击事件与美国司法部达成不起诉协议，也逃其代价就是不掉部起
，Uber同意帮助美国司法部起诉其前首席安全官Sullivan。协助

2016年，司法诉前黑客对Uber进行攻击，离职访问了私有源代码存储库并窃取了访问密钥 ，也逃约有5700万用户记录和60万驾照号码的不掉部起数据被黑客窃取 。为了让这一事件不扩散，协助当时的服务器租用司法诉前Uber首席安全官Sullivan以安全漏洞赏金的名义向黑客支付了价值10万美元的比特币，并与黑客签订了保密协议  。离职

保密协议中注明，也逃该黑客并未获取或存储任何Uber用户资料——而在当时，不掉部起Sullivan甚至都不知道黑客的协助真实姓名 。当Uber团队确认黑客身份之后 ，司法诉前Sullivan还要求黑客重新签署了保密协议。

这一攻击事件恰好发生在FTC对Uber公司进行数据调查期间，源码库最终Uber选择隐瞒这起发生在2016年11月的大规模数据泄露事件，也因此差点被司法部起诉 。

2017 年 11 月
，在前 CEO Travis Kalanick 和新任 CEO Dara Khosrowshahi 离职后，Uber 通知 FTC 并解雇了 Sullivan。2018 年，它与欧盟委员会达成和解，同意维持一项包括外部审计在内的隐私计划。它还与美国 50 个州的免费模板诉讼进行和解 ，支付了1.48亿美元。

2020 年8月 ，美国司法部对Sullivan提起刑事诉讼 ，罪名是妨碍司法公正和隐瞒重罪 。2021 年12月，司法部又提出了电话欺诈的新指控 ，原因是未能告知优步司机，建站模板他们的驾驶执照已被泄露 。

Uber一直在配合此次起诉，并将根据最新和解条款继续进行。该公司已同意提供任何材料和证人，以帮助司法部起诉Sullivan。作为回报
，Uber及其附属公司摆脱了与 2016 年数据泄露相关的任何起诉。

但这并不意味着Uber之后就万事大吉了
 。

欧洲刑警组织数据保护专家网络成员 Ilia Kolochenko 警告称 ，香港云服务器Uber 仍可能面临私人民事诉讼。“为了避免这种不良情况
，公司应该认真对待隐私和数据泄露，考虑他们在所有适用法律和法规下的职责和义务 
。制定深思熟虑的数据泄露响应计划 ，其中包括与内部和外部法律团队 、媒体和投资者的快速互动，对于最大限度地减少不可预防的亿华云数据泄露造成的声誉和财务损失至关重要。”

参考来源
：https://www.infosecurity-magazine.com/news/uber-hacking-case-doj/