تایید حکم مدیر امنیتی سابق اوبر در دادگاه تجدیدنظر
به گزارش کارگروه بین الملل خبرگزاری سایبربان، سالیوان که از متخصصان برجسته امنیت سایبری محسوب میشود، در اعتراض به حکم خود، برخی جنبههای اتهامات و مجازاتش را به چالش کشیده بود.
در سال ۲۰۲۳، یک قاضی فدرال ایالات متحده، پس از محکومیت سالیوان توسط هیئت منصفه فدرال به دو اتهام مرتبط با تلاش او برای پوشاندن حادثه امنیتی سال ۲۰۱۶ اوبر، که طی آن هکرها اطلاعات ۵۷ میلیون مشتری و ۶۰۰ هزار راننده این شرکت را سرقت کردند، وی را به سه سال آزادی مشروط محکوم کرد.
سالیوان در دادگاه تجدیدنظر استدلال کرد که دادگاه بدوی در رد کردن دو دستورالعمل پیشنهادی او به هیئت منصفه و همچنین پذیرش غیرمنصفانه اقرار به گناه یکی از هکرها مرتکب اشتباه شده است.
قاضی مارگارت مککوئن، یکی از سه قاضی دادگاه تجدیدنظر، در رأی خود نوشت:
رأی هیئت منصفه در این پرونده بر اهمیت شفافیت، حتی در مواجهه با شکست، تأکید میکند؛ خصوصاً زمانی که این شکستها موضوع تحقیقات فدرال هستند. این رأی از هیچکدام از خطاهای ادعایی مرتبط با دستورالعملها یا شواهد آلوده نشده است و همچنین نمیتوان آن را به دلیل ناکافی بودن شواهد لغو کرد. ما حکم دادگاه بدوی را در تمامی جنبههای مربوطه تأیید میکنیم.
یکی از استدلالهای اصلی وکلای سالیوان در دادگاه تجدیدنظر، مربوط به مفهوم پنهانکاری جرم (Misprision of Felony) بود.
این جرم زمانی رخ میدهد که فردی از ارتکاب یک جرم مطلع باشد اما آن را مخفی کند یا بلافاصله به مراجع قانونی اطلاع ندهد.
پس از یک هک جداگانه در سال ۲۰۱۴ که اطلاعات ۵۰ هزار راننده را افشا کرد، کمیسیون تجارت فدرال (FTC) اوبر را ملزم کرده بود که هرگونه نقض امنیتی را گزارش دهد.
با این حال، در حادثه سال ۲۰۱۶، سالیوان به جای اطلاعرسانی به کمیسیون، به هکرها مبلغ ۱۰۰ هزار دلار پرداخت کرد و آنها را مجبور به امضای توافقنامه عدم افشا (NDA) کرد.
او این پرداخت را بهعنوان جایزه کشف باگ توجیه کرد.
دادستانها استدلال کردند که سالیوان اقدامات عمدی برای پنهانکاری، منحرف کردن و گمراه کردن کمیسیون تجارت فدرال درباره این حمله انجام داده است.
وکلای سالیوان در دفاعیه خود گفتند که وی به پنهانکاری جرم متهم نمیشود زیرا پس از امضای قرارداد عدم افشا با هکرها، اقدامات آنها دیگر غیرقانونی محسوب نمیشد.
قاضی مککوئن این ادعا را رد کرده و در حکم خود نوشت:
دسترسی غیرمجاز هکرها به سرورها و دانلود دادهها، نقض آشکار قانون تقلب و سوءاستفاده رایانهای(CFAA) بود و هیچکس در این پرونده ادعا نمیکند که آنها از قبل اجازه دسترسی و سرقت اطلاعات را داشتهاند.
وی ادامه داد:
این دادگاه تأیید میکند که رفتار غیرقانونی هکرها را نمیتوان از طریق توافقنامه عدم افشا (NDA) که پس از سرقت اطلاعات امضا شده، توجیه کرد.
در رأی ۲۰ صفحهای دادگاه تجدیدنظر ذکر شده که سالیوان بهعنوان یک دادستان فدرال سابق، کاملاً آگاه بوده که اقدامات وی یک جرم جدی محسوب میشود.
همچنین، یکی از هکرها به جرم خود اعتراف کرده بود که این موضوع ادعاهای سالیوان را بیاثر میکرد.
مککوئن همچنین اشاره کرد که خود سالیوان در ایمیلی به مدیرعامل جدید اوبر یک سال پس از حادثه، همچنان از هکرها به عنوان "افراد غیرمجاز" یاد کرده بود.
وکلای سالیوان در اکتبر ۲۰۲۴ در دادگاهی در سانفرانسیسکو پرونده خود را به قضات مککوئن، آنتونی جانستون و آنا د آلبا ارائه کردند.
دادستانهای فدرال خواهان محکومیت ۱۵ ماه زندان برای سالیوان بودند، اما این درخواست رد شد.
در نهایت، او به سه سال آزادی مشروط، پرداخت ۵۰ هزار دلار جریمه، انجام خدمات اجتماعی و محدودیت در سفر محکوم شد.
از زمان برگزاری دادگاه، سالیوان در چندین کنفرانس امنیت سایبری سخنرانی کرده و حمایت گستردهای از سوی متخصصان این حوزه دریافت کرده است.
بسیاری از کارشناسان امنیت سایبری بر این باورند که او قربانی سیاستهای اوبر و اقدامات تأییدشده مدیرعامل وقت، تراویس کالانیک، و وکیل داخلی اوبر، کریگ کلارک، شده است.
قاضی پرونده در زمان صدور حکم، ۱۸۶ نامه دریافت کرد که ۵۰ مورد از آنها از سوی مدیران ارشد امنیت اطلاعات (CISO) بود.
در این نامهها هشدار داده شده بود که محکومیت شدید سالیوان میتواند تأثیر منفی بر صنعت امنیت سایبری بگذارد و باعث شود مدیران امنیتی شرکتها در مواجهه با نقضهای امنیتی از اطلاعرسانی خودداری کنند.