Hai tin tặc tống tiền Uber và LinkedIn nhận tội

Hai tin tặc mũ xám đã nhận tội tống tiền Uber , LinkedIn và các tập đoàn khác của Mỹ để đổi lấy lời hứa sẽ xóa dữ liệu của hàng triệu khách hàng mà họ đã đánh cắp vào cuối năm 2016.

Tại một tòa án ở San Jose ở California hôm thứ Tư, Brandon Charles Glover (26) của Florida và Vasile Mereacre (23) của Toronto thừa nhận họ đã truy cập và tải xuống cơ sở dữ liệu công ty bí mật trên Dịch vụ web của Amazon bằng thông tin đăng nhập bị đánh cắp.

Sau khi tải xuống dữ liệu, bộ đôi này đã liên lạc với các công ty bị ảnh hưởng để báo cáo các lỗ hổng bảo mật và yêu cầu tiền để đổi lấy việc xóa dữ liệu, theo thông cáo báo chí do Bộ Tư pháp Mỹ công bố.

“Tôi đã có thể truy cập các bản sao lưu khi sao lưu, tôi và nhóm của tôi muốn có một phần thưởng lớn cho việc này”, tin tặc nói với công ty nạn nhân trong một email.

 

“Xin lưu ý, chúng tôi mong đợi một khoản thanh toán lớn vì đây là công việc khó khăn đối với chúng tôi, chúng tôi đã giúp một tập đoàn lớn trả gần 7 chữ số, tất cả đều diễn ra tốt đẹp.”

Như The Hacker News đã đưa tin hai năm trước, các tin tặc đã truy cập và tải xuống thông tin nhạy cảm của 57 triệu người lái xe và tài xế Uber, theo đó Uber đã trả cho bộ đôi 100.000 đô la bitcoin này nhằm che giấu hành vi vi phạm.

 

“Các bị cáo đã sử dụng tên giả để liên lạc với các tập đoàn nạn nhân, và trong một số trường hợp, đã thông báo cho các tập đoàn nạn nhân rằng họ đã được các tập đoàn nạn nhân khác trả tiền để xác định các lỗ hổng bảo mật”, bản cáo trạng viết.

 

“Họ cũng gửi cho các tập đoàn nạn nhân một mẫu dữ liệu để các tập đoàn nạn nhân xác minh tính xác thực của dữ liệu.”

Bản cáo trạng cũng tiết lộ rằng bộ đôi này đã tống tiền LinkedIn theo cách tương tự vào tháng 12 năm 2016, thông báo cho công ty rằng họ đã xâm phạm cơ sở dữ liệu của công ty con Lynda.com của LinkedIn và đánh cắp hơn 90.000 hồ sơ người dùng, bao gồm thông tin thẻ tín dụng của họ.

Vào thời điểm đó, cũng có báo cáo rằng Uber đã gửi nhóm pháp y của mình đến nhà của tin tặc ở Florida và Canada để phân tích máy tính của họ để đảm bảo tất cả dữ liệu bị đánh cắp đã bị xóa và các tin tặc cũng ký thỏa thuận không tiết lộ để ngăn chặn sai phạm hơn nữa.

Uber đã chờ đợi một năm để tiết lộ vi phạm dữ liệu vào tháng 10 năm 2016 , sau đó được luật sư của tất cả 50 tiểu bang và Quận Columbia yêu cầu trả 148 triệu đô la trên tất cả 50 tiểu bang và Washington DC để giải quyết cuộc điều tra.

Các cơ quan quản lý bảo vệ dữ liệu của Anh và Hà Lan cũng đã tấn công công ty chia sẻ chuyến đi với tổng số tiền phạt khoảng 1,1 triệu đô la vì không bảo vệ thông tin cá nhân của khách hàng trong cuộc tấn công mạng năm 2016.

Vào thời điểm đó, cũng có báo cáo rằng Uber đã che giấu sự cố vi phạm dữ liệu từ Ủy ban Thương mại Liên bang Hoa Kỳ (FTC), nơi đang điều tra một vụ hack khác chống lại công ty, và chỉ nói với ủy ban về vi phạm năm 2016 vào cuối năm 2017 khi sự cố đã được công khai.

Glover và Mereacre mỗi người đã nhận tội với một tội danh âm mưu tống tiền và bị kết án tối đa năm năm tù và phạt tiền 250.000 đô la khi họ bị kết án.

Bộ đôi này sẽ bị kết án vào tháng 3 năm 2020.

bình luận

Leave a Comment