从优步（Uber）前CSO“骚操作”漫谈数据安全与CSO职位

撰稿 | 狗哥

编辑 | 草草

近日，一则老新闻又被安全圈关注到。即是前段时日，美国联邦大陪审团指控优步（Uber）的前首席安全官（CSO）约瑟夫·沙利文（Joseph Sullivan）犯有三项电汇欺诈罪。而此前，沙利文因隐瞒2016年的大规模数据泄露事件而被起诉。

至于优步（Uber）是个啥，想必许多人都不陌生，就是美国打车公司，和国内之前的滴滴类似。甚至有段时间，优步还跑到中国来，抢了国内市场不少生意。

现如今，随着网络安全的重要性与日俱增，CSO的权力、地位、薪资都跟着水涨船高。犹且记得去年，某家游戏公司向狗哥发来一份招聘启事让帮忙发布，其内容就是招聘一个CSO，并开出了300万的年薪。

当时狗哥就震惊了。为何？因为对方是一家游戏公司。第一反应是一个游戏公司，花那么大的代价招一个CSO有必要吗？

后来了解到，游戏可是一个非常赚钱的行业，一款精品游戏的诞生，从立项到开发再到成品继而公测、修复bug，是一个漫长的过程，需要耗费大量的财力人力。一旦即将正式上线，或者压根还没等到你上线，你的游戏代码被偷走了，别人复制照抄了一个同样的游戏已经上市，玩家们已经玩得风生水起，你投入的千万级甚至亿级资金就活生生打了水漂。

像今年，《弈剑行》、《半盏复古行》等知名游戏，就遭受了黑客的大规模攻击。虽然不是对源代码的窃取攻击，而是对游戏上线首日的干扰，但也让游戏开发团队累得够呛。

所以，这就不难想象，为何一家游戏公司会花高价请一位厉害的CSO坐镇。一年两三百万的牛叉CSO，可以统领安全团队，为游戏公司保驾护航，免受较大规模的黑客攻击损失，确实是一件相当划算的事情。

由此展开联想，随着数字化的愈发深入，大量企业不可避免地会产生巨量的线上数据，而其中又不可避免地会拥有关乎企业生死命脉的核心数据。同时，黑产黑客的攻击技术和组织性也正以无法想像的速度提升。为了保障企业数据安全，必须拿出重金来招贤纳士。

随着安全职能的越发扩大，安全总监这个称谓已经跟不上时代的步伐，必须冠之以CSO，才能匹配得上安全领导者的身份地位与权力职能。

沙利文曾在优步秀出什么骚操作✦

说回前优步CSO约瑟夫·沙利文，这哥们儿今年已经52岁，其在2015年4月至2017年11月期间担任优步的CSO，目前还面临2020年八月被指控的妨碍司法公正和叛国罪等重罪指控。如果这些罪名成立，沙利文将面临最高8年的监禁和50万美元的罚款。

掐指一算，秀儿沙利文是在45岁至48岁之间，担任了优步CSO。这个年龄若是放在国内，可能是被优化的那一群人。但是，安全是一个需要经验积累和与时俱进的行业，新人或许了解新技术，但缺乏安全经验；老人拥有安全经验，但并不意味着不清楚安全新趋势。

所以，可以预测的是，安全业者只要不断学习，拿出技术真本事，让你的老板看到你的真能耐，大概率是能逃脱35岁魔咒的。并且，在40岁的时候，还是能够冲击安全更高的职位。当然有些优秀的安全业者，在30多岁的时候，就已经登上了安全职业天花板的CSO宝座。

话说沙利文这哥们儿当年是个什么骚操作呢？历史久远，说来话长，简单梳理一下，即是2016年，两名黑客侵入了优步的一个数据库，窃取了约5700万优步用户和司机的个人身份信息。

窃取数据，当然是为了钱财，直接对外售卖的话，一是风险太大，二是不一定能够卖出什么好价钱。这两名黑客也是有生意头脑，他们首先想到联系优步的CSO，毕竟这事要是曝光出去，优步CSO一定吃不了兜着走。

据称，2016年11月14日，这两名黑客通过电子邮件，成功联系到了沙利文，并要求其支付六位数的报酬，这样他们就会保持沉默，言下之意就是你给我几十万，我就不把这些数据泄露出去，也不会对外宣称我窃取了你的数据，就是“封口费”。你破财消灾，还是安安稳稳做你的CSO，毕竟你一年薪资几十万美金（根据行业数据瞎猜的，优步这么大，几十万美金年薪应该妥妥的，只低不高）。

根据起诉书显示，沙利文经过一番交涉，果断向黑客支付了10万美元。

事后，沙利文还指示黑客销毁数据。不仅如此，沙利文甚至还寻求与攻击者签订保密协议（NDA），要求他们发布虚假消息称没有信息或数据被泄露。

10万美元，这可不是一个小数目，沙利文怎么向公司交待这笔钱的用处呢。想要自己掏腰包，那怎么可能，打工人要有打工人的态度，能让公司掏钱的活，坚决不自己垫付。

沙利文灵光一闪，灵机一动，哟西，我可以利用合法的漏洞赏金来支付这笔钱啊，这可是合法而光明正大的渠道，并且相当不易被公司察觉。在该计划中，有专门的第三方中介机构安排向所谓的“白帽”黑客付款，付款之后，沙利文大概会觉得自己真是个小机灵鬼。

此外，在优步的工作人员确认了两名对此次入侵负有责任的人之后，沙利文安排黑客以他们的真实姓名签署了新的保密协议副本。新的协定保留了没有取得数据的虚假条件。

然而，纸是包不住火的，况且新官上任三把火。2017年，优步来了新的管理层，或许是想干出一番成绩来，就先拿安全开刀。本来应该是想树立一下权威，没想到这一伸手，还真摸出了一摊屎来。

最终，新管理层发现了沙利文试图隐藏黑客行为，并隐藏受影响数据的关键细节，并在2017年11月向美国联邦贸易委员会公开披露了这一漏洞。

美国司法部后来宣布，沙利文在2016年黑客攻击事件上，“故意采取措施隐瞒、转移和误导”联邦贸易委员会。因此，他被控妨碍司法公正和玩忽职守，分别被处以五年和三年的刑罚。

至于那两名黑客，自然也是没啥好果子吃。因为，他们从优步捞到一笔钱后，并没有收手，而是得寸进尺，继续向其它公司狠下黑手。根据2019年10月美国司法部的新闻稿，由于沙利文未能及时披露优步数据事件，导致两名黑客继续作案成功入侵了其他公司和用户。也正因为这样，沙利文哥们儿刑期又得以加重，大碗牢饭不得不多吃几年。

2018年，优步向50个州和哥伦比亚特区支付了1.48亿美元的和解金。尽管如此，对沙利文的单独刑事指控仍在继续。

2020年，美国司法部诉状显示，在2015年4月至2017年11月期间，沙利文一直在Uber担任首席安全官（CSO）一职。在这期间，两名黑客通过电子邮件联系了沙利文，并要求其支付六位数的高额赎金以换取和解。

据称，黑客已经访问并下载了一个Uber数据库，其中包含大约5700万名Uber用户和驾驶员的个人识别信息（PII），不仅如此，还涵盖了约60万Uber司机的驾照编号。沙利文蓄意采取了一些非法手段来试图掩盖信息、歪曲和误导联邦贸易委员会的调查。

如果2020年的指控成立，沙利文将面临最高8年的监禁和50万美元的罚款。但是目前沙利文的出庭日期尚未确定。

“秀儿”沙利文也曾风光无两过✦

不得不说，沙利文确实是CSO界的一朵奇葩，甚至影响了一些老板对CSO的信心。因为老板们会想，艹，老子给了你这么大的权力，本来是请你来为我的公司保驾护航，结果你居然私下动用公司的钱与侵害我公司的黑客做PY交易，这与我自己扇我自己的脸有什么区别，这让我以后还怎么在老板圈里混，我的面子不重要啊？

当然咯，哪个行业都有奇葩，好在大多数CSO都还比较正经实在。比如狗哥曾经采访了许多CSO，他们所在的公司都曾面临过攻击，但有一说一，绝不隐瞒。其实也正常，本来是团队的锅，你非得炒一盘屎往自己头顶上倒，也不是“人干事”。

有意思的是，狗哥在搜索这名秀儿CSO的时候，找到了一个古老而有趣的新闻，甚至还用了“Uber新聘请了一位CSO，听起来还很神秘的样子”、“Uber新聘请了一位神秘高管，他以前还当过美国联邦检察官”等牛逼轰轰的推文标题，不由让狗哥虎躯一震，原来能够做优步CSO的人，确实拥有够牛逼的简历。

原来，沙利文哥们儿在担任优步CSO之前，是大名鼎鼎的Facebook 的 CSO。小扎同志当年看到优步这则新闻，大概会内心一紧，随后淡淡一笑，还好这家伙走了，不然现在屎盆子就可能扣到了爷的头上。

相关资料显示，沙利文并不是什么计算机专业大牛出身，也不是叱咤风云的黑客白帽，反而曾经是一位毕业于迈阿密大学的法学博士。并且从他的背景来看，他毕业之后非常偏爱那些与成长型的信息安全紧密相关的科技公司。他曾经在 eBay 工作六年（包括在Paypal 的三年），之后又去了 Facebook 工作六年, 并成功坐稳了脸书CSO的宝座。

追根溯源，沙利文在2002年加入 eBay 的时候，正值 eBay 刚刚收购 PayPal。由于牵扯到线上支付转账等金融服务，所以格外需要对用户信息加强保护。于是，沙利文得以进入 eBay 从事安全相关工作。

2008年，沙利文加入 Facebook 时，也正值 Facebook 开始腾飞但却面临更多关于保护用户个人隐私方面质疑的时刻。

由此可见，成长型的科技公司，确实是一个值得磨砺的平台。若是这个平台成功做大做强，对个人的职业资历是一个巨大的提升。不得不佩服沙利文，他在择业与择机方面，确实做足了大量的功课，也确实付出了努力，取得了卓著的成绩。

那么，当初优步为何要重金将沙利文请去担任CSO呢？原来，优步在那时也面临着诸多关于安全层面的质疑，并且安全问题正成为阻碍优步发展壮大的一大绊脚石。

比如，道路安全以及司机背景调查是否到位，都直接关系到客人的安全。此外，由于 Uber 将无数独立的司机都连接到了它的网络叫车后台，进而必然会产生许多网络安全问题。

实际上，优步的数据泄露和信息安全问题还真发生过。2014年，在一次信息安全事故中，近五万名司机的姓名和驾驶证号等信息被泄露。一年之后，大家都还不知道这些泄露的信息被哪些人用来做了什么；尤为离谱的是，这些信息被泄露的司机，过了五个月之后才收到优步的相关通知。

在线下的车里，彼时优步也面临许多头大的问题。比如优步曾经在多个国家面临各种各样的指控，以及很多现实生活中的涉及人身安全的诉讼。例如，Uber曾在印度由于司机性侵女乘客而遭到禁用。此外，Uber 也在韩国、德国、日本、台湾都遭到不同程度的封杀和警告。

如此之多的难题困扰之下，优步高层不得不想办法找一个优秀的安全消防员帮他们看家护院。找来找去，发现沙利文同学有着十几年大公司由小到大的安全经验，一直做得有模有样，还混到了CSO的位置，此人与优步真是珠联璧合、天生一对，当即决定重金挖来。

据说，沙利文被优步挖走之后，不光要解决网络安全问题，还要插手人身安全问题。也有媒体猜测，优步聘请沙利文也是希望招到正确的道路与政府打好关系。因为沙利文同学在硅谷科技企业叱咤风云之前，曾经走的是正统的政府范儿。他可曾出任过专门处理信息安全和网络犯罪的联邦检察官。

谁能想到，三十年河东三十年河西，一身正气的沙利文同学，也会一脚踩进屎坑里。

数据泄露、法律法规与CSO✦

其实，调侃归调侃，玩笑归玩笑，数据安全其实是一个比较严肃的话题。

虽说黑客攻击是一个不可避免的事情，但是，你作为一家掌握大量用户数据的企业，未能成功守护好这些数据，一旦遭受泄露，那肯定吃不了兜着走。其数据失窃后带来的一系列罚单，才是令相关公司损失惨重并感到肉痛的关键因素。

2018年5月25日，欧洲联盟出台《通用数据保护条例》（General Data Protection Regulation，简称GDPR）。一时间，GDPR因其严格的隐私保护，一度成为中国科技公司感到相当头疼甚至有种想退出欧洲市场的冲动。当年对GDPR的研究，怕是连篇累牍，数不胜数。

就拿优步前CSO沙利文这番骚操作的事情来说，2018年，英国信息专员办公室（ICO）对优步公司处以了38.5万英镑的罚款，相当于49万美元。

英国信息专员办公室表示：“优步美国公司没有遵循其漏洞奖励计划的正常流程。在这起事件中，从优步美国公司拿到钱的外部攻击者，与合法的漏洞赏金领取者存在本质区别：后者会负责任地披露漏洞，而前者恶意利用该漏洞，获取了优步用户的个人信息。”

万幸，实在万幸啊，因为事情发生在2016年，所以英国是根据1998年《数据保护法》对优步处以罚款的，其中规定罚款最高金额为50万英镑。而根据2018年GDPR，优步会被处以远远更高的罚款，最高可达优步全球营收的4%。

据悉，优步在2018年全年收入达到113亿美元，4%的处罚金额将会是4.52亿美元。要知道，优步2018年可是亏损了18亿美元，高达4.5亿美元的罚款，可以说是雪上加霜。对于国内许多企业而言，这是一个无法想像的严厉惩罚。

当然，优步从轻处罚的另外一些因素，一是因为优步在欧洲的分公司也没有被告知此事，所以无法把此事报告给ICO，二是因为没有证据表明被泄露的数据遭到了滥用。

GDPR把隐私数据的权力全部归于用户，把责任主体完全归于搜集、存储和使用数据的平台。这种一面倒的保护政策下，GDPR成为了一根高压线，稍不留神就会吃官司交罚金。

今年，《数据安全法》和《个人信息保护法》的相继出台，都加强了数据泄露和个人信息泄露的惩处力度。由此可见，未来对信息数据的保护力度会越发严厉，同时也对CSO提出了更高的要求。

当然，责任与报酬往往成正比，这也意味着，未来CSO的薪酬水平必将得以提升。据悉，《数据安全法》和《个人信息保护法》等法律法规颁布实施之后，不少公司在市面上高薪寻求CSO等资深安全人才也因此渐成趋势。

如今，据媒体报道，国内网络安全专业人才累计缺口超140万人，CSO更是整个安全行业中的极度稀缺人才。甚至有猎头曾言：“2021年不管是从业者还是专家都很难招，一年能谈十几个就算不错了。至于CSO，更是高端稀缺资源。”

还有安全从业者表示：“如果严格定义，当前在行业中叫得上名号的CSO，或许两个手都数得出来”。

数据显示，2018年《中国首席安全官（CSO）调研报告》中129份问卷调查中，仅有30.2%的政企机构设立了CSO或相应级别岗位。而近一半的机构，在当时从未考虑过设置这一岗位。而到了2021年，情况显著变化，不少甲方企业出于自建、更新团队的目的，纷纷急求CSO、安全负责人、安全专家等职位。“年薪百万”在安全管理层群体中已有所普遍，如果技术过关，又有不错的管理经验，CSO甚至达到年薪500万。

成为优秀的CSO显然不易。如果是自下而上的路径，只有在合适的行业、合适的公司、合适的时点，不断协调资源做出业绩，再将安全与公司的主营业务相结合，且经过多年的验证与经验沉淀，才有机会从安全工程师成长为真正的CSO。这种复杂的成长之路，注定了这一职位的稀缺性。

当然，从沙利文的职业变迁中也可以看出，CSO不光需要专业的安全技术和经验，还需要有强大的沟通交际能力，尤其是与政府机构相关的沟通对接层面，是一个巨大的加分项。

有志于从事网络安全并想登上CSO宝座的朋友们，其实可以考虑沙利文的发展脉络。虽说他后来犯错，实际上他前20年走的路其实是很多安全业者的标杆与榜样。

今年9月，由咱们安在新媒体联合中国网络安全审查技术与认证中心（CCRC）共同举办的第二期超级CSO研修班也拉开序幕，集结了17位业内大咖组成超豪华导师团，立足于如此强大的“靠山”，旨在打造一个深度平台，凝聚一群未来大咖。如果你对CSO相关内容感兴趣，不妨通过以下链接关注了解！

参考资料：

GoUpSec：《隐瞒数据泄露，前优步CSO面临重罪指控》

小链财经Celia：《Uber前首席安全官被控花费天价赎金，试图掩盖大规模数据泄露》

品玩lianzi：《Uber新聘请了一位神秘高管，他以前还当过美国联邦检察官》

腾讯科技：《300万英国乘客数据被泄露 优步被罚款38.5万英镑》

极客蘑菇：《8年监禁，这位52岁前优步高管即将迎来退休前的牢狱体验》

36氪：《时代呼唤首席安全官》

齐心抗疫 与你同在

点【在看】的人最好看