En un juzgado de San José en California el miércoles, Brandon Charles Glover (26) de Florida y Vasile Mereacre (23) de Toronto admitieron que accedieron y descargaron bases de datos corporativas confidenciales en Amazon Web Services utilizando credenciales robadas.
Después de descargar los datos, el dúo contactó a las compañías afectadas para informar vulnerabilidades de seguridad y exigió dinero a cambio de la eliminación de los datos, según un comunicado de prensa publicado por el Departamento de Justicia de los EE. UU.
«Pude acceder a las copias de seguridad una y otra vez, mi equipo y yo quisiéramos una gran recompensa por esto», dijeron los piratas informáticos a la empresa víctima en un correo electrónico.
«Tenga en cuenta que esperamos un gran pago ya que esto fue un trabajo duro para nosotros, ya ayudamos a un gran cuerpo que pagó cerca de 7 dígitos, todo salió bien».
Como informó The Hacker News hace dos años, los piratas informáticos lograron acceder y descargar de manera inapropiada información confidencial de 57 millones de conductores y conductores de Uber, por lo que Uber pagó al dúo $ 100,000 en bitcoin en un intento de encubrir la violación.
«Los acusados utilizaron nombres falsos para comunicarse con las corporaciones víctimas y, en varias ocasiones, informaron a las corporaciones víctimas que otras corporaciones víctimas les habían pagado por identificar vulnerabilidades de seguridad», se lee en la acusación.
«También enviaron a las corporaciones víctimas una muestra de los datos para que las corporaciones víctimas verifiquen la autenticidad de los datos».
La acusación también reveló que el dúo chantajeó a LinkedIn de la misma manera en diciembre de 2016, informando a la compañía que habían comprometido las bases de datos de la filial de LinkedIn Lynda.com y robado más de 90,000 registros de usuarios, incluida la información de su tarjeta de crédito.
En ese momento, también se informó que Uber envió a su equipo forense a la casa de los piratas informáticos en Florida y Canadá para analizar sus computadoras para asegurarse de que todos los datos robados habían sido borrados y que los piratas informáticos también firmaran un acuerdo de confidencialidad para evitar Más fechorías.
Uber esperó un año para revelar la violación de datos de octubre de 2016 , para lo cual luego los fiscales generales de los 50 estados y el Distrito de Columbia le ordenaron pagar $ 148 millones en los 50 estados y Washington DC para resolver la investigación.
Los reguladores de protección de datos británicos y holandeses también golpearon a la compañía de viajes compartidos con una multa total de aproximadamente $ 1.1 millones por no proteger la información personal de sus clientes durante un ciberataque de 2016.
En ese momento, también se informó que Uber ocultó el incidente de violación de datos de la Comisión Federal de Comercio de los EE. UU. (FTC), que estaba investigando otro incidente de piratería contra la compañía, y solo informó a la comisión sobre la violación de 2016 a fines de 2017 cuando el incidente se hizo público
Glover y Mereacre se declararon culpables de un cargo de conspiración para cometer extorsión y enfrentarán un máximo de cinco años en prisión y una multa de $ 250,000 cuando sean sentenciados.
El dúo ha sido liberado bajo fianza y será sentenciado en marzo de 2020.
Fuente: thehackernews.com
