近日，Uber就2016年一起黑客攻擊事件與美國司法部達成不起訴協(xié)議，其代價就是，Uber同意幫助美國司法部起訴其前首席安全官Sullivan。

2016年，黑客對Uber進行攻擊，訪問了私有源代碼存儲庫并竊取了訪問密鑰，約有5700萬用戶記錄和60萬駕照號碼的數(shù)據(jù)被黑客竊取。為了讓這一事件不擴散，當時的Uber首席安全官Sullivan以安全漏洞賞金的名義向黑客支付了價值10萬美元的比特幣，并與黑客簽訂了保密協(xié)議。

保密協(xié)議中注明，該黑客并未獲取或存儲任何Uber用戶資料——而在當時，Sullivan甚至都不知道黑客的真實姓名。當Uber團隊確認黑客身份之后，Sullivan還要求黑客重新簽署了保密協(xié)議。

這一攻擊事件恰好發(fā)生在FTC對Uber公司進行數(shù)據(jù)調(diào)查期間，最終Uber選擇隱瞞這起發(fā)生在2016年11月的大規(guī)模數(shù)據(jù)泄露事件，也因此差點被司法部起訴。

2017 年 11 月，在前 CEO Travis Kalanick 和新任 CEO Dara Khosrowshahi 離職后，Uber 通知 FTC 并解雇了 Sullivan。2018 年，它與歐盟委員會達成和解，同意維持一項包括外部審計在內(nèi)的隱私計劃。它還與美國 50 個州的訴訟進行和解，支付了1.48億美元。

2020 年8月，美國司法部對Sullivan提起刑事訴訟 ，罪名是妨礙司法公正和隱瞞重罪。2021 年12月，司法部又提出了電話欺詐的新指控，原因是未能告知優(yōu)步司機，他們的駕駛執(zhí)照已被泄露。

Uber一直在配合此次起訴，并將根據(jù)最新和解條款繼續(xù)進行。該公司已同意提供任何材料和證人，以幫助司法部起訴Sullivan。作為回報，Uber及其附屬公司擺脫了與 2016 年數(shù)據(jù)泄露相關(guān)的任何起訴。

但這并不意味著Uber之后就萬事大吉了。

歐洲刑警組織數(shù)據(jù)保護專家網(wǎng)絡(luò)成員 Ilia Kolochenko 警告稱，Uber 仍可能面臨私人民事訴訟?！盀榱吮苊膺@種不良情況，公司應(yīng)該認真對待隱私和數(shù)據(jù)泄露，考慮他們在所有適用法律和法規(guī)下的職責和義務(wù)。制定深思熟慮的數(shù)據(jù)泄露響應(yīng)計劃，其中包括與內(nèi)部和外部法律團隊、媒體和投資者的快速互動，對于最大限度地減少不可預防的數(shù)據(jù)泄露造成的聲譽和財務(wù)損失至關(guān)重要。”

參考來源：https://www.infosecurity-magazine.com/news/uber-hacking-case-doj/