Hai hacker tống tiền Uber và LinkedIn đã nhận tội

hacker tống tiền Uber và LinkedIn

Hai hacker mũ xám mới đây đã chính thức thừa nhận hành vi tống tiền Uber, LinkedIn và một số tập đoàn khác của Hoa Kỳ để đổi lấy lời hứa sẽ xóa dữ liệu của hàng triệu khách hàng mà chúng đã đánh cắp vào cuối năm 2016.

Tại tòa án San Jose ở California hôm thứ Tư vừa qua, Brandon Charles Glover (26 tuổi), người Florida và Vasile Mereacre (23 tuổi), người Toronto thừa nhận đã truy cập và tải xuống cơ sở dữ liệu bí mật của các công ty trên dịch vụ web của Amazon bằng các thông tin đăng nhập đánh cắp được.

Các công ty được yêu cầu trả tiền chuộc

Thông cáo báo chí của Bộ Tư pháp Mỹ cho biết sau khi tải xuống dữ liệu, bộ đôi này đã liên lạc với các công ty liên quan để báo cáo các lỗ hổng bảo mật và yêu cầu một khoản tiền bồi thường nhằm đổi lấy việc xóa các dữ liệu bảo mật.

Nội dung email hacker gửi tới các công ty nạn nhân có đoạn như sau “Tôi đã truy cập được vào hệ thống sao lưu của công ty, tôi và nhóm của tôi muốn nhận được phần thưởng lớn cho điều này”.

Các hacker cũng nhấn mạnh nhiều lần về việc yêu cầu một khoản thanh toán lớn với lý do là đã “làm việc rất vất vả” để “giúp” công ty tìm ra lỗ hổng.

bản cáo trạng hacker Uber

Các hacker này đã truy cập và tải xuống thông tin cá nhân của 57 triệu tài xế Uber (cả xe máy và ô tô). Được biết, Uber đã trả cho hai hacker này khoản tiền lên tới 100.000 đô la bitcoin nhằm che giấu vụ vi phạm.

Bản cáo trạng có nêu rõ rằng những kẻ này đã sử dụng tên giả để liên lạc với các công ty. Đồng thời, trong một số trường hợp, chúng còn nêu dẫn chứng về việc các tập đoàn/ công ty khác đã chi trả tiền để chúng tìm ra các lỗ hổng bảo mật.

Bên cạnh đó, để tăng tính thuyết phục, những kẻ này sẽ gửi kèm cho các công ty những mẫu dữ liệu để xác minh tính xác thực của dữ liệu.

Các hacker đã từng tấn công LinkedIn

Bản cáo trạng còn cho biết bộ đôi hacker này cũng đã từng tống tiền LinkedIn theo cách tương tự vào tháng 12 năm 2016. Những kẻ này đã thông báo cho phía LinkedIn về việc xâm nhập thành công cơ sở dữ liệu của công ty con Lynda.com của LinkedIn và đánh cắp hơn 90.000 hồ sơ người dùng bao gồm cả thông tin thẻ tín dụng của họ.

Quay trở lại với câu chuyện của Uber, được biết vào thời điểm đó phía công ty cũng đã cử người trực tiếp tới nhà của hai hacker tại Florida và Canada để phân tích máy tính cá nhân nhằm đảm bảo tất cả dữ liệu bị đánh cắp đã được xóa, đồng thời những kẻ này cũng đã ký vào bản thỏa thuận không tiết lộ để ngăn chặn các hoạt động sai phạm có thể tiếp tục xảy ra.

Án phạt dành cho Uber

Một năm sau khi vụ vi phạm diễn ra, Uber mới công bố thông tin tới công chúng. Bên cạnh đó, Uber cũng đã phải chi trả 148 triệu đô la tiền hòa giải trong vụ kiện của 50 tiểu bang và Washington DC vì không những không bảo vệ được thông tin của khách hàng mà còn bưng vụ vi phạm bằng cách trả tiền cho các hacker.

Các cơ quan quản lý bảo vệ dữ liệu của Anh và Hà Lan cũng đã có những động thái tương tự với tổng số tiền phạt dành cho Uber lên tới xấp xỉ 1,1 triệu đô la.

Một thông tin khác cho biết Uber đã cố tình che giấu vụ vi phạm dữ liệu để tránh khỏi những hoạt động điều tra của Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) – đơn vị mà vào thời điểm đó cũng đang điều tra một vụ vi phạm dữ liệu khác nhắm vào công ty. Có vẻ như Uber chỉ thông tin cho FTC về vụ vi phạm năm 2016 vào cuối năm 2017 khi sự cố đã được công khai trước công chúng.

Cả Glover và Mereacre đều đã thừa nhận tội danh âm mưu tống tiền của mình. Nhiều khả năng bộ đôi này sẽ phải nhận mức án phạt tối đa năm năm tù giam và khoản tiền phạt 250.000 đô la.

Phiên tòa xét xử hai hacker này sẽ chính thức diễn ra vào tháng 3 năm 2020.

THN