ウーバーの元最高セキュリティ責任者、数百万件のウーバーユーザー記録に関わる情報漏洩を隠蔽した罪で3年間の執行猶予を言い渡される

2023 年 5 月 5 日

被告はまた、5万ドルの罰金の支払いも命じた。

サンフランシスコ – ジョセフ・サリバン被告に3年間の保護観察を言い渡し、5万ドルの罰金の支払いを命じたと、米国検事第一補ステファニー・M・ハインズ氏とFBIサンフランシスコ担当特別捜査官ロバート・K・トリップ氏が発表した。判決は長官によって言い渡された。2022年10月に陪審がサリバン氏を2つの重罪で有罪と認定したことを受けて、米国地方判事ウィリアム・H・オリック氏はこう述べた。

サンタクララ郡パロアルト在住のサリバンさん（54）は、以前はウーバー・テクノロジーズ社（「ウーバー」）の最高セキュリティ責任者を務めていた。裁判での証拠は、サリバン氏がその職務を務めていた間、2014年にウーバーが受けたデータ侵害の結果として、ウーバーが連邦取引委員会（「FTC」）の調査を受けていたことを立証した。特に消費者のプライバシーと情報セキュリティに関連する問題を監督する責任を負っているFTCのプライバシー・アイデンティティ保護部門は、最終的に、2014年のデータ侵害の性質と状況とウーバーの広範なサイバーセキュリティ・プログラムの両方を調査した。サリバン氏はFTCの調査開始直後に採用され、FTCが発行した調査要求に従う取り組みを含め、その調査に対するウーバーの対応に参加した。とりわけ、

公判で証明されたように、FTC の宣誓証言から 10 日後、サリバンはウーバーが再びハッキングされたことを知りました。さらに、ハッカーは 2014 年の侵害を引き起こしたのと同じ脆弱性を悪用していました。ただし、2014 年の侵害とは異なり、2016 年に盗まれたデータは大規模で、約 5,700 万人の Uber ユーザーとドライバーに関連する記録が含まれていました。10 日前にも同じセキュリティ脆弱性と関連問題について証言していたにもかかわらず、サリバン氏は侵害に関する情報が FTC に届かないように策略を実行しました。たとえば、サリバン氏は部下に「この件を外に出すわけにはいかない」と語り、この違反はFTCに対して「これまでの主張に基づいて非常に悪い結果をもたらす」だろうと述べた。彼はまた、ハッカーがハッキングを誰にも明らかにしないことを約束する機密保持契約に署名する代わりに、ハッカーに報酬を支払うよう手配した。これらの契約書は、サリバン氏とそのチームに割り当てられた弁護士が起草したもので、ハッカーがハッキングの際にいかなるデータも取得または保存していないと虚偽の内容を示していた。その後、サリバン氏は、ウーバーの法務顧問を含む、FTC の調査を担当または監督するウーバーの弁護士と協力を続けたが、違反に関する情報を弁護士全員に差し控えた。ウーバーは最終的に、2016年のデータ侵害をFTCに開示することなく、2016年夏にFTCと仮和解を締結した。交渉の一環として、サリバン氏はFTCが以前ウーバーから提供された虚偽の情報に依存していることを知ったが、ウーバーの弁護士にもFTCにも警告しなかった。

2017 年秋、ウーバーの新経営陣は 2016 年のデータ侵害に関する事実の調査を開始しました。ウーバーの新CEOに何が起こったのかと尋ねられたとき、サリバン氏はハッカーがデータを盗んでいないとCEOに話すなど、侵害の状況について嘘をついた。サリバン氏は、事件の調査を行っていたウーバー社の社外弁護士に再び嘘をついた。それにもかかわらず、違反の真実は最終的にウーバーの新経営陣によって発見され、2017 年 11 月に違反を公に、そして FTC に公表した。

米国検事補のアンドリュー・F・ドーソン氏とベンジャミン・キングズレー氏が、パトリシア・マホニー氏とニーナ・バーニー氏の協力を得てこの事件を起訴している。起訴はFBIによる捜査の結果である。