ウーバーの元最高セキュリティ責任者ジョー・サリバン氏は、2016年に数千万件の顧客と運転手の記録が漏洩した事件を隠蔽しようとしたとして刑事妨害の罪で有罪判決を受けた。
米司法省によると、サンフランシスコの連邦陪審は水曜日、司法妨害と連邦重罪が犯されたことを隠蔽した罪でサリバン氏に有罪判決を下した。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
「北カリフォルニア地区のテクノロジー企業は、ユーザーから膨大な量のデータを収集・保管しています」と、ステファニー・M・ハインズ連邦検事は声明で述べた。「これらの企業には、そのデータを保護し、ハッカーによってデータが盗まれた場合には顧客と関係当局に通報することを期待しています。」
サリバンは違反を隠そうとした
司法省は、裁判中に提出された証拠は「サリバン氏が連邦取引委員会からデータ漏洩を隠蔽しようと積極的に働き、ハッカーが捕まるのを防ぐ措置を講じていた」ことを示していると述べた。
2016年、ウーバーのシステムが侵害を受け、5,700万人以上の顧客とドライバーの氏名、メールアドレス、電話番号、米国のドライバーの運転免許証番号約60万件など、データが漏洩した。
このデータ漏洩は、2014年にハッカーが約5万人の消費者の個人情報にアクセスした小規模な漏洩事件の直後、ウーバーがサイバーセキュリティ強化のためサリバン氏を雇用してからわずか数か月後に発生した。
裁判で検察側は、サリバン氏が2016年の情報漏洩について知った後、一般の人々や2014年の情報漏洩を調査していた連邦取引委員会から情報を隠す計画を開始したという証拠を提示した。
現在CloudflareのCSOを務め、元連邦検察官でもあるサリバン氏は、Uberが顧客データの安全を確保するために講じた具体的な措置について証言した。FTCでの証言から10日後、サリバン氏はUberが再びハッキングされたことを知り、犯人はデータの削除と引き換えに多額の身代金を要求したと司法省の声明で述べられている。
「証拠は、サリバン氏が2016年の情報漏洩の規模を知った直後、FTCや他の当局、ウーバーのユーザーに報告するのではなく、情報漏洩に関するいかなる情報もFTCに届かないようにする計画を実行したことを示している」と司法省は述べた。
司法省によると、サリバン氏は部下に対し、「これは漏らしてはならない」、情報は「厳重に管理」する必要がある、そしてセキュリティグループ外には「この捜査は存在しない」と伝えるよう指示したという。
「その後、サリバン氏はハッカーたちに金銭を支払う代わりに秘密保持契約に署名させた。契約ではハッカーたちはハッキングの内容を誰にも漏らさないことを約束し、ハッカーたちはハッキングでいかなるデータも取得・保存していないという虚偽の説明も含まれていた」と司法省は述べた。
2016年12月、Uberはハッカーらが実名を明かすことを拒否したにもかかわらず、ビットコインで10万ドルを支払った。同社は最終的に2017年1月に2人のハッカーを特定し、実名で秘密保持契約書の新たなコピーを締結するよう要求した。
「サリバン氏は、ハッカーたちがウーバーだけでなく他の企業もハッキングして恐喝していること、そしてハッカーたちが少なくともそれらの他の企業のいくつかからデータを入手していたことを知りながら、これらの行為を画策した」と司法省の声明は述べている。
この事件は、企業幹部がハッキングをめぐって刑事訴追を受けた初めてのケースとみられており、セキュリティー専門家がデータ侵害に対処する方法に影響を及ぼす可能性がある。
ウーバーは2017年にサリバン氏を解雇し、連邦検察は2020年に業務妨害1件と重罪隠匿1件で同氏を起訴した。
ウーバーが訴訟を和解
ライドシェア企業のUberは、2017年にダラ・コスロシャヒ新CEOが就任するまで、このインシデントを公表せず、FTCにも報告していませんでした。その後、Uberは、この情報漏洩を隠蔽しようとしたとして米国50州とコロンビア特別区から提訴された訴訟で、1億4,800万ドルを支払って和解しました。また、この情報漏洩は英国に拠点を置く8万2,000人のドライバーと17万4,000人のオランダ国民に影響を与えたため、英国とオランダのデータ保護当局からUberに対して合計約120万ドルの罰金が科されました。
サリバン被告は司法妨害の罪で最長5年の懲役刑、犯罪の報告義務違反の罪で最長3年の懲役刑に直面している。判決言い渡しまでは保釈金で釈放されており、判決は後日決定される。
サリバン氏の有罪判決のニュースは、ウーバーがハッカーらが同社のネットワークとアクセスシステムに侵入し、内部情報やSlackのメッセージを盗んだことを認めたものの、クレジットカード情報や乗車履歴などの機密情報は盗まれなかったと述べてからわずか数週間後に伝えられた。
数日後、ウーバーは、ソーシャルエンジニアリングを使ってテクノロジー企業やその他の組織を狙う恐喝グループ「ラプサス$」が犯行を行ったことを明らかにした。
