叫車與外送業者 Uber 的前資安長 Joseph Sullivan 被指控試圖掩飾 2016 年駭客竊取敏感資訊的事件,手段是透過一個漏洞懸賞計畫發出 10 萬美元的比特幣封口費。
駭客當時取得 Uber 公司駕駛司機的執照號碼,大約有 60 萬名 Uber 駕駛受影響,此外還有大約 5,700 萬名用戶的個人隱私資料受影響。
根據美國司法部在 8 月 20 日發布的聲明,Joseph Sullivan 已因 2016 年駭客事件,被指控妨礙司法與包庇隱匿重罪犯罪名。 Joseph Sullivan 還被指控利用蓄意的手法來隱匿、扭曲和誤導美國聯邦貿易委員會有關資料外洩,以及相關 10 萬美元比特幣封口費之事。
美國司法部指控 Joseph Sullivan 透過漏洞懸賞計畫發出這一筆比特幣封口費用,以避免向美國聯邦貿易委員會回報有關遭駭的事情。一般而言,這種漏洞計畫是用來合法獎勵能揪出一家公司資安漏洞與問題的「白帽駭客」,而非那些取得未授權資料的駭客。
美國檢察官 David Anderson 表示:
我們將不會容忍非法的封口費付款,矽谷不是蠻荒西部。
美國司法部還指出,即便駭客真實身份不詳,但 Joseph Sullivan 透過要求「匿名」的駭客簽署保密協定、且必須聲稱他們沒有從 Uber 取得任何個資,以試圖隱瞞該公司遭駭客入侵漏洞之事。司法部還指,後來當有調查揭露出兩名駭客的身份時,Joseph Sullivan 依然要求駭客再簽下保密協議,而不是舉發他們。
針對美國司法部的指控, Joseph Sullivan 發言人予以否認,並表示前述指控「毫無根據」。他還稱,由始至終,Joseph Sullivan 及其團隊都是依照公司的書面政策與 Uber 的法律行事、通訊以及跟其他相關團隊緊密合作」,他續稱,
這些政策明確指出,負責決定是否披露、向誰披露的是法律部門(而非 Joseph Sullivan 或他的團隊)。
目前,涉及參與 Uber 漏洞入侵事件的兩名駭客已承認有罪,認罪的罪名是在去年 10 月涉及電腦詐欺共謀事件,現在正等待判刑。
現在有愈來愈多企業被迫直接與網路犯罪者直接交涉,不過多數仍在法律範圍之內。舉例來說,美國企業旅行業者 CWT 在去年遭駭客竊取敏感檔案,並要求 1,000 萬美元贖金。該公司的代表事後與駭客談判,要求少付 50% 。
在更近期,一個 NetWalker 惡意軟體勒索集團關閉加州大學的七台伺服器,加州大學與這些駭客談判一周,說服該組織把贖金從 300 萬美元降至 100 萬美元。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。