تایید حکم مدیر امنیتی سابق اوبر در دادگاه تجدیدنظر

به گزارش کارگروه بین الملل خبرگزاری سایبربان، سالیوان که از متخصصان برجسته امنیت سایبری محسوب می‌شود، در اعتراض به حکم خود، برخی جنبه‌های اتهامات و مجازاتش را به چالش کشیده بود.

در سال ۲۰۲۳، یک قاضی فدرال ایالات متحده، پس از محکومیت سالیوان توسط هیئت منصفه فدرال به دو اتهام مرتبط با تلاش او برای پوشاندن حادثه امنیتی سال ۲۰۱۶ اوبر، که طی آن هکرها اطلاعات ۵۷ میلیون مشتری و ۶۰۰ هزار راننده این شرکت را سرقت کردند، وی را به سه سال آزادی مشروط محکوم کرد.

سالیوان در دادگاه تجدیدنظر استدلال کرد که دادگاه بدوی در رد کردن دو دستورالعمل پیشنهادی او به هیئت منصفه و همچنین پذیرش غیرمنصفانه اقرار به گناه یکی از هکرها مرتکب اشتباه شده است.

قاضی مارگارت مک‌کوئن، یکی از سه قاضی دادگاه تجدیدنظر، در رأی خود نوشت:

رأی هیئت منصفه در این پرونده بر اهمیت شفافیت، حتی در مواجهه با شکست، تأکید می‌کند؛ خصوصاً زمانی که این شکست‌ها موضوع تحقیقات فدرال هستند. این رأی از هیچ‌کدام از خطاهای ادعایی مرتبط با دستورالعمل‌ها یا شواهد آلوده نشده است و همچنین نمی‌توان آن را به دلیل ناکافی بودن شواهد لغو کرد. ما حکم دادگاه بدوی را در تمامی جنبه‌های مربوطه تأیید می‌کنیم.

یکی از استدلال‌های اصلی وکلای سالیوان در دادگاه تجدیدنظر، مربوط به مفهوم پنهان‌کاری جرم (Misprision of Felony) بود.

این جرم زمانی رخ می‌دهد که فردی از ارتکاب یک جرم مطلع باشد اما آن را مخفی کند یا بلافاصله به مراجع قانونی اطلاع ندهد.

پس از یک هک جداگانه در سال ۲۰۱۴ که اطلاعات ۵۰ هزار راننده را افشا کرد، کمیسیون تجارت فدرال (FTC) اوبر را ملزم کرده بود که هرگونه نقض امنیتی را گزارش دهد.

با این حال، در حادثه سال ۲۰۱۶، سالیوان به جای اطلاع‌رسانی به کمیسیون، به هکرها مبلغ ۱۰۰ هزار دلار پرداخت کرد و آن‌ها را مجبور به امضای توافق‌نامه عدم افشا (NDA) کرد.

او این پرداخت را به‌عنوان جایزه کشف باگ توجیه کرد.

دادستان‌ها استدلال کردند که سالیوان اقدامات عمدی برای پنهان‌کاری، منحرف کردن و گمراه کردن کمیسیون تجارت فدرال درباره این حمله انجام داده است.

وکلای سالیوان در دفاعیه خود گفتند که وی به پنهان‌کاری جرم متهم نمی‌شود زیرا پس از امضای قرارداد عدم افشا با هکرها، اقدامات آن‌ها دیگر غیرقانونی محسوب نمی‌شد.

قاضی مک‌کوئن این ادعا را رد کرده و در حکم خود نوشت:

دسترسی غیرمجاز هکرها به سرورها و دانلود داده‌ها، نقض آشکار قانون تقلب و سوءاستفاده رایانه‌ای(CFAA)  بود و هیچ‌کس در این پرونده ادعا نمی‌کند که آن‌ها از قبل اجازه دسترسی و سرقت اطلاعات را داشته‌اند.

وی ادامه داد:

این دادگاه تأیید می‌کند که رفتار غیرقانونی هکرها را نمی‌توان از طریق توافق‌نامه عدم افشا (NDA) که پس از سرقت اطلاعات امضا شده، توجیه کرد.

در رأی ۲۰ صفحه‌ای دادگاه تجدیدنظر ذکر شده که سالیوان به‌عنوان یک دادستان فدرال سابق، کاملاً آگاه بوده که اقدامات وی یک جرم جدی محسوب می‌شود.

همچنین، یکی از هکرها به جرم خود اعتراف کرده بود که این موضوع ادعاهای سالیوان را بی‌اثر می‌کرد.

مک‌کوئن همچنین اشاره کرد که خود سالیوان در ایمیلی به مدیرعامل جدید اوبر یک سال پس از حادثه، همچنان از هکرها به عنوان "افراد غیرمجاز" یاد کرده بود.

وکلای سالیوان در اکتبر ۲۰۲۴ در دادگاهی در سان‌فرانسیسکو پرونده خود را به قضات مک‌کوئن، آنتونی جانستون و آنا د آلبا ارائه کردند.

دادستان‌های فدرال خواهان محکومیت ۱۵ ماه زندان برای سالیوان بودند، اما این درخواست رد شد.

در نهایت، او به سه سال آزادی مشروط، پرداخت ۵۰ هزار دلار جریمه، انجام خدمات اجتماعی و محدودیت در سفر محکوم شد.

از زمان برگزاری دادگاه، سالیوان در چندین کنفرانس امنیت سایبری سخنرانی کرده و حمایت گسترده‌ای از سوی متخصصان این حوزه دریافت کرده است.

بسیاری از کارشناسان امنیت سایبری بر این باورند که او قربانی سیاست‌های اوبر و اقدامات تأییدشده مدیرعامل وقت، تراویس کالانیک، و وکیل داخلی اوبر، کریگ کلارک، شده است.

قاضی پرونده در زمان صدور حکم، ۱۸۶ نامه دریافت کرد که ۵۰ مورد از آن‌ها از سوی مدیران ارشد امنیت اطلاعات (CISO) بود.

در این نامه‌ها هشدار داده شده بود که محکومیت شدید سالیوان می‌تواند تأثیر منفی بر صنعت امنیت سایبری بگذارد و باعث شود مدیران امنیتی شرکت‌ها در مواجهه با نقض‌های امنیتی از اطلاع‌رسانی خودداری کنند.