秒送号(miaosong.cn)自媒体平台10月31日文章,据美国司法部称,周三有两名男子在美国联邦法院对黑客和勒索包括优步和LinkedIn的公司认罪。黑客向公司索要金钱,以换取同意删除他们窃取的机密数据。
根据美国司法部的新闻稿,布兰登·查尔斯·格洛弗(Brandon Charles Glover)和瓦西里·梅里亚克(Vasile Mereacre)承认,他们参与了一项合谋,利用被盗的凭证访问Amazon Web Services 上的机密公司数据库。下载信息后,Glover和Mereacre告诉公司,他们发现员工使用该系统存在漏洞。司法部说,他们然后要求公司给他们钱,以换取删除数据。
美国司法部说,这些人使用别名和加密的电子邮件帐户与公司联系,并告诉他们他们的数据容易受到攻击。他们还共享了一个被盗数据的样本,以表明其系统已被破坏,然后要求退款以删除数据。
联邦调查局负责特工约翰·本内特(John F. Bennett)在一份声明中说:“我们正在与世界上最先进的网络参与者打交道。” “为了在网络安全战的最前线与这些人接洽,我们在很大程度上依赖于我们宝贵的关系并与网络行业的私营部门公司进行公开对话。他们愿意迅速向调查人员报告入侵,这使我们能够找到并逮捕他们那些违反数据的人。”
Glover和Mereacre表示,他们将Uber的Amazon Web Services帐户的凭据提供给了“技术熟练的黑客”,该黑客发现了包含5700万个由客户和驱动程序数据组成的Uber用户记录的存档文件。他们说,他们非法下载了这些记录,并于2016年11月联系了Uber,称他们发现了rideshare公司的计算机安全系统中的一个重大漏洞。根据被告的辩诉,优步表示,如果被告签署保密协议,它将通过第三方向这名男子支付100,000美元的比特币。该公司要求付款保密,并要求这些人销毁数据。
经过三周的谈判,Uber在12月付款。2017年1月,Uber告诉被告,它已经找到了Glover的真实身份。该公司的一位代表在佛罗里达州的家中会见了格洛弗,在那里他承认了自己在该地块中的作用,并以其真实姓名签署了保密协议。两天后,Uber代表在多伦多会见了Mereacre,他也承认自己在违规行为中的作用并签署了保密协议。
同样,被告也获得了超过90,000个Lynda.com机密用户帐户的信息,他们已从平台的Amazon Web Services帐户中非法访问和下载了该帐户。(LinkedIn是Lynda.com的母公司。)在将一些用户帐户信息通过电子邮件发送给LinkedIn的安全团队并要求赔偿删除数据后,LinkedIn开始搜索电子邮件的来源。
被告对LinkedIn代表说:“请记住,请您支付一笔大笔款项,因为这对我们来说是一项艰苦的工作,我们已经帮助了一家支付近七位数数字的大公司,一切进展顺利。” 这些人于2017年1月停止与LinkedIn交流,该公司最终没有向他们付款。
Glover和Mereacre各自被控以一项串谋实施勒索计算机罪名。他们已被释放,等待定罪。美国地方法院法官露西·高(Lucy H. Koh)计划在2020年3月18日举行量刑状态会议。这些男子可能面临最高五年的监禁和25万美元的罚款。
领英(LinkedIn)代表在一份声明中说:“我们感谢美国检察官办公室正在进行的工作,以追究并将2016年违反Lynda用户信息的责任者绳之以法。“我们很高兴看到这项调查的解决方案。”
优步拒绝置评。
