Tống tiền Uber, LinkedIn, hai hacker nhận bản án nghiêm khắc

Hai người đàn ông đã cúi đầu nhận tội tại tòa án liên bang Hoa Kỳ vào hôm thứ tư 30/10 vừa qua sau một loạt các cáo buộc liên quan đến hành vi hack và tống tiền nhiều tập đoàn, trong đó đặc biệt có hai tên tuổi lớn bao gồm Uber và LinkedIn.

Theo Bộ Tư pháp Hoa Kỳ, tin tặc đã yêu cầu khoản tiền khổng lồ từ các công ty nêu trên để đổi lấy việc xóa bỏ toàn bộ dữ liệu bí mật mà chúng đã đánh cắp được.

Brandon Charles Glover và Vasile Mereacre thừa nhận đã tham gia vào một âm mưu truy cập trái phép cơ sở dữ liệu bí mật của các công ty trên Amazon Web Services bằng cách sử dụng thông tin mà chúng đánh cắp và thu thập được trước đó.

Sau khi có được lượng dữ liệu cần thiết, Glover và Mereacre chủ động sử dụng sử dụng bí danh và tài khoản email đã được mã hóa để liên hệ với với các nạn nhân, thông báo rằng chúng tìm thấy lỗ hổng trong việc sử dụng hệ thống của nhân viên công ty, đồng thời chứng minh rằng một lượng dữ liệu bí mật đang nằm trong tay mình và yêu cầu các công ty phải chuyển tiền để đổi lấy việc toàn bộ dữ liệu bị rò rỉ sẽ được xóa bỏ, cáo trạng nêu rõ.

Glover và Mereacre đã tìm thấy một kho dữ liệu lưu trữ với 57 triệu hồ sơ người dùng Uber được tạo từ dữ liệu khách hàng và tài xế, sau đó download bất hợp pháp lượng dữ liệu này để “tống tiền” Uber vào tháng 11 năm 2016.

Theo lập luận biện hộ của các bị cáo, Uber cho biết họ sẽ trả 100.000 đô la bitcoin thông qua bên thứ ba nếu các bị cáo đồng ý với thỏa thuận bảo mật. Ngoài ra, công ty cũng yêu cầu khoản thanh toán được giữ bí mật và hai hacker phải xóa bỏ hoàn toàn lượng dữ liệu mà chúng đang nắm giữ.

Sau ba tuần đàm phán, Uber đã thực hiện khoản thanh toán vào tháng 12 năm 2016, tuy nhiên vẫn bí mật dò tìm danh tính của các hacker. Vào tháng 1 năm 2017, Uber đã tìm thấy danh tính thực sự của Glover. Một đại diện của công ty đã gặp mặt trực tiếp Glover tại nhà riêng của anh ta ở Florida, và hacker này đã thừa nhận vai trò của mình trong toàn bộ vụ việc và ký một thỏa thuận bảo mật bằng tên thật của anh ta. Hai ngày sau, danh tính của Mereacre cũng đã được xác định. Một đại diện của Uber đã gặp tên này ở Toronto và đưa ra yêu cầu tương tự.

Về phía LinkedIn, các bị cáo đã có được thông tin về hơn 90.000 tài khoản người dùng bí mật trên Lynda.com mà chúng đã truy cập và download bất hợp pháp từ tài khoản Amazon Web Services của nền tảng này (LinkedIn là công ty mẹ của Lynda.com). Hành vi tống tiền cũng được tiến hành tương tự như với Uber.

Glover và Mereacre bị buộc tội với âm mưu thực hiện hành vi tống tiền liên quan đến máy tính. Hai người đàn ông này nhiều khả năng sẽ phải đối mặt với án tù 5 năm và khoản tiền phạt lên tới 250.000 đô la.