Uber支付了10萬美元并讓黑客在數(shù)據(jù)泄露后簽署了保密協(xié)議

據(jù)美國司法部稱，周三有兩名男子在美國聯(lián)邦法院對黑客和勒索包括優(yōu)步和LinkedIn的公司認(rèn)罪。該黑客們索要錢財，從公司，以換取同意刪除他們偷了機密數(shù)據(jù)。 據(jù) CNET的姊妹網(wǎng)站CBS News周四報道，Uber據(jù)稱是向黑客支付了10萬美元，而不是向警方報告了這一違規(guī)行為，并且讓兩名黑客簽署了保密協(xié)議。

北加州美國律師戴夫·安德森(Dave Anderson)告訴CBS新聞，優(yōu)步“絕對”采取不負(fù)責(zé)任的行動，要求黑客刪除5700萬用戶文件并承諾對黑客保持沉默。

安德森說：“這種情況很不尋常。” 他聲稱，此外，還有第三方參與了數(shù)據(jù)泄露。“我們知道被告說他們銷毀了這些數(shù)據(jù)……但是黑客中有第三名參與者。而Uber未知該第三名參與者。” Uber告訴哥倫比亞廣播公司，它無法對正在進(jìn)行的刑事調(diào)查發(fā)表評論。

相比之下，檢察官表示，LinkedIn并未付款，并在當(dāng)時向警方報告了這一黑客行為。

根據(jù)美國司法部的新聞稿，認(rèn)罪的兩個人是布蘭登·查爾斯·格洛弗和瓦西里·梅里亞克，他們承認(rèn)他們參與了一起陰謀，利用被盜的憑證訪問亞馬遜網(wǎng)絡(luò)服務(wù)上的機密公司數(shù)據(jù)庫。下載信息后，Glover和Mereacre告訴公司，他們發(fā)現(xiàn)員工使用該系統(tǒng)存在漏洞。美國司法部說，他們隨后要求公司給他們錢，以換取刪除數(shù)據(jù)，這是CNET姊妹網(wǎng)站ZDNet周三早些時候報道的。

美國司法部說，這些人使用別名和加密的電子郵件帳戶與公司聯(lián)系，并告訴他們他們的數(shù)據(jù)容易受到攻擊。他們還共享了一個被盜數(shù)據(jù)的樣本，以表明其系統(tǒng)已被破壞，然后要求退款以刪除數(shù)據(jù)。

聯(lián)邦調(diào)查局負(fù)責(zé)特工約翰·本內(nèi)特(John F. Bennett)在一份聲明中說：“我們正在與世界上最先進(jìn)的網(wǎng)絡(luò)參與者打交道。” “為了在網(wǎng)絡(luò)安全戰(zhàn)的最前線與這些人接洽，我們在很大程度上依賴于我們寶貴的關(guān)系并與網(wǎng)絡(luò)行業(yè)的私營部門公司進(jìn)行公開對話。他們愿意迅速向調(diào)查人員報告入侵，這使我們能夠找到并逮捕他們那些違反數(shù)據(jù)的人。”

Glover和Mereacre表示，他們將Uber的Amazon Web Services帳戶的憑據(jù)提供給了“技術(shù)熟練的黑客”，該黑客發(fā)現(xiàn)了包含5700萬個由客戶和驅(qū)動程序數(shù)據(jù)組成的Uber用戶記錄的存檔文件。這些人說他們非法下載了這些記錄，并于2016年11月聯(lián)系了Uber，說他們發(fā)現(xiàn)了這家拼車公司的計算機安全系統(tǒng)中的一個重大漏洞。根據(jù)被告的辯訴，優(yōu)步表示，如果被告簽署保密協(xié)議，它將通過第三方向這名男子支付100,000美元的比特幣。該公司要求付款保密，并要求這些人銷毀數(shù)據(jù)。

經(jīng)過三周的談判，Uber在12月付款。2017年1月，Uber告訴被告，它已經(jīng)找到了Glover的真實身份。該公司的一位代表在佛羅里達(dá)州的家中會見了格洛弗，在那里他承認(rèn)了自己在該地塊中的作用，并以其真實姓名簽署了保密協(xié)議。兩天后，Uber代表在多倫多會見了Mereacre，他也承認(rèn)自己在違規(guī)行為中的作用并簽署了保密協(xié)議。

同樣，被告也獲得了超過90,000個Lynda.com機密用戶帳戶的信息，他們已從平臺的Amazon Web Services帳戶非法訪問和下載了該帳戶。(LinkedIn是Lynda.com的母公司。)在將一些用戶帳戶信息通過電子郵件發(fā)送給LinkedIn的安全團(tuán)隊并要求賠償刪除數(shù)據(jù)后，LinkedIn開始搜索電子郵件的來源。

被告對LinkedIn代表說：“請記住，請您支付一筆大筆款項，因為這對我們來說是一項艱苦的工作，我們已經(jīng)幫助了一家支付近七位數(shù)數(shù)字的大公司，一切進(jìn)展順利。” 這些人于2017年1月停止與LinkedIn交流，該公司最終沒有向他們付款。

Glover和Mereacre各自被控以一項串謀實施勒索計算機罪名。他們已被釋放，等待定罪。美國地方法院法官露西·高(Lucy H.Koh)計劃于2020年3月18日舉行量刑狀態(tài)會議。這些男子可能面臨最高五年的監(jiān)禁和25萬美元的罰款。

領(lǐng)英(LinkedIn)代表在一份聲明中說：“我們感謝美國檢察官辦公室正在進(jìn)行的工作，以追究并將2016年違反Lynda用戶信息的責(zé)任者繩之以法。” “我們很高興看到本次調(diào)查的決議。”