近日，Uber就2016年一起黑客攻擊事件與美國司法部達成不起訴協議，其代價就是，Uber同意幫助美國司法部起訴其前首席安全官Sullivan。

2016年，黑客對Uber進行攻擊，訪問了私有源代碼存儲庫并竊取了訪問密鑰，約有5700萬用戶記錄和60萬駕照號碼的數據被黑客竊取。為了讓這一事件不擴散，當時的Uber首席安全官Sullivan以安全漏洞賞金的名義向黑客支付了價值10萬美元的比特幣，并與黑客簽訂了保密協議。

保密協議中注明，該黑客并未獲取或存儲任何Uber用戶資料——而在當時，Sullivan甚至都不知道黑客的真實姓名。當Uber團隊確認黑客身份之后，Sullivan還要求黑客重新簽署了保密協議。

這一攻擊事件恰好發生在FTC對Uber公司進行數據調查期間，最終Uber選擇隱瞞這起發生在2016年11月的大規模數據泄露事件，也因此差點被司法部起訴。

2017 年 11 月，在前 CEO Travis Kalanick 和新任 CEO Dara Khosrowshahi 離職后，Uber 通知 FTC 并解雇了 Sullivan。2018 年，它與歐盟委員會達成和解，同意維持一項包括外部審計在內的隱私計劃。它還與美國 50 個州的訴訟進行和解，支付了1.48億美元。

2020 年8月，美國司法部對Sullivan提起刑事訴訟 ，罪名是妨礙司法公正和隱瞞重罪。2021 年12月，司法部又提出了電話欺詐的新指控，原因是未能告知優步司機，他們的駕駛執照已被泄露。

Uber一直在配合此次起訴，并將根據最新和解條款繼續進行。該公司已同意提供任何材料和證人，以幫助司法部起訴Sullivan。作為回報，Uber及其附屬公司擺脫了與 2016 年數據泄露相關的任何起訴。

但這并不意味著Uber之后就萬事大吉了。

歐洲刑警組織數據保護專家網絡成員 Ilia Kolochenko 警告稱，Uber 仍可能面臨私人民事訴訟。“為了避免這種不良情況，公司應該認真對待隱私和數據泄露，考慮他們在所有適用法律和法規下的職責和義務。制定深思熟慮的數據泄露響應計劃，其中包括與內部和外部法律團隊、媒體和投資者的快速互動，對于最大限度地減少不可預防的數據泄露造成的聲譽和財務損失至關重要。”

參考來源：https://www.infosecurity-magazine.com/news/uber-hacking-case-doj/