26-летний американец Брэндон Гловер (Brandon Glover) и 23-летний канадец Василь Мереакр (Vasile Mereacre) признали себя виновными в хищении данных 57 000 000 пассажиров и водителей Uber, а также данных 90 000 пользователей Lynda.com.
Согласно судебным документам, в 2016 году эти двое воспользовались «собственным инструментом для проверки учетных записей GitHub» и попробовали применить к аккаунтам GitHub учетные данные от других сайтов, ранее утекшие в открытый доступ. При этом взломщики нацеливались на корпоративных сотрудников, чтобы взломать наиболее ценные учетные записи и найти конфиденциальную информацию.
После проникновения в чужие аккаунты GitHub, Гловер и Мереакр искали учетные данные от Amazon Web Services (AWS), которые затем использовали для подключения к бэкэндам компаний и получения конфиденциальной информации (сведений о пользователях или бэкапов). Таким образом были похищены данные о 57 000 000 пассажиров и водителей Uber, а также данные 90 000 пользователей Lynda.com, принадлежащего LinkedIn.
Похитив данные, хакеры принялись шантажировать пострадавшие компании. Для этого они создали ящик на Protonmail и вышли на связь с компаниями. Так, в начале ноября 2016 года они связались с начальником службы безопасности Uber и заявили, что «обнаружили серьезную уязвимость», предоставив образец украденных данных. Гловер и Мереакр потребовали выплатить им 100 000 долларов в криптовалюте, на что руководство Uber в итоге согласилось. Платеж был проведен через программу вознаграждения за уязвимости HackerOne, и Uber потребовала, чтобы хакеры подписали соглашение о конфиденциальности, которое запрещало использование данных и публичное раскрытие информации о взломе.
Впоследствии Uber скрывала произошедшее почти год. О взломе и утечке данных стало известно лишь в конце 2017 года, когда о случившемся стало известно новому руководству компании, которое решило обнародовать информацию. В итоге Uber подверглась строгому аудиту безопасности, была оштрафована в Великобритании (385 000 фунтов стерлингов) и Нидерландах (600 000 евро), а также согласилась выплатить 148 000 000 долларов в США, в рамках урегулирования коллективного иска.
Но если с Uber у хакеров все прошло относительно гладко, то с LinkedIn дела пошли не так хорошо. Судебные документы свидетельствуют о том, что, взломщики обратились к LinkedIn в декабре 2016 года,н о компания не стала мириться с попыткой вымогательства и решила публично заявить о нарушении безопасности. Сообщается, что «торгуясь» с LinkedIn, хакеры пытались поднять размер выкупа до семизначного числа.
Правоохранительные органы начали расследование этих инцидентов после того, как Uber официально рассказала о случившемся в 2017 году, и вскоре оба вымогателя были арестованы. На прошлой неделе эти двое признали себя виновными, и теперь им грозит до пяти лет лишения свободы и по 250 000 долларов штрафа.
Согласно судебным документам, в 2016 году эти двое воспользовались «собственным инструментом для проверки учетных записей GitHub» и попробовали применить к аккаунтам GitHub учетные данные от других сайтов, ранее утекшие в открытый доступ. При этом взломщики нацеливались на корпоративных сотрудников, чтобы взломать наиболее ценные учетные записи и найти конфиденциальную информацию.
После проникновения в чужие аккаунты GitHub, Гловер и Мереакр искали учетные данные от Amazon Web Services (AWS), которые затем использовали для подключения к бэкэндам компаний и получения конфиденциальной информации (сведений о пользователях или бэкапов). Таким образом были похищены данные о 57 000 000 пассажиров и водителей Uber, а также данные 90 000 пользователей Lynda.com, принадлежащего LinkedIn.
Похитив данные, хакеры принялись шантажировать пострадавшие компании. Для этого они создали ящик на Protonmail и вышли на связь с компаниями. Так, в начале ноября 2016 года они связались с начальником службы безопасности Uber и заявили, что «обнаружили серьезную уязвимость», предоставив образец украденных данных. Гловер и Мереакр потребовали выплатить им 100 000 долларов в криптовалюте, на что руководство Uber в итоге согласилось. Платеж был проведен через программу вознаграждения за уязвимости HackerOne, и Uber потребовала, чтобы хакеры подписали соглашение о конфиденциальности, которое запрещало использование данных и публичное раскрытие информации о взломе.
Впоследствии Uber скрывала произошедшее почти год. О взломе и утечке данных стало известно лишь в конце 2017 года, когда о случившемся стало известно новому руководству компании, которое решило обнародовать информацию. В итоге Uber подверглась строгому аудиту безопасности, была оштрафована в Великобритании (385 000 фунтов стерлингов) и Нидерландах (600 000 евро), а также согласилась выплатить 148 000 000 долларов в США, в рамках урегулирования коллективного иска.
Но если с Uber у хакеров все прошло относительно гладко, то с LinkedIn дела пошли не так хорошо. Судебные документы свидетельствуют о том, что, взломщики обратились к LinkedIn в декабре 2016 года,н о компания не стала мириться с попыткой вымогательства и решила публично заявить о нарушении безопасности. Сообщается, что «торгуясь» с LinkedIn, хакеры пытались поднять размер выкупа до семизначного числа.
Правоохранительные органы начали расследование этих инцидентов после того, как Uber официально рассказала о случившемся в 2017 году, и вскоре оба вымогателя были арестованы. На прошлой неделе эти двое признали себя виновными, и теперь им грозит до пяти лет лишения свободы и по 250 000 долларов штрафа.