Theo Bộ Tư pháp Mỹ, có hai bị cáo vừa bị tuyên án tại tòa án Liên bang Mỹ với tội danh đánh cắp thông tin và tống tiền hai công ty Uber và LinkedIn. Theo đó, Uber bị chỉ trích vì đã đồng ý trả cho tin tặc 100.000 USD thay vì báo cáo vi phạm cho cảnh sát.
Cụ thể, các bị cáo đã yêu cầu hai công ty này trả tiền để họ xóa toàn bộ dữ liệu bị đánh cắp. Trong khi LinkedIn từ chối và báo ngay cho cảnh sát thì Uber lại đồng ý trả 100.000 USD cho hai tên tội phạm và buộc họ ký thỏa thuận không tiết lộ thông tin.
Dave Anderson, một luật sư tại Bắc California (Mỹ), bình luận rằng Uber đã hành động vô trách nhiệm khi yêu cầu tin tặc xóa 57 triệu tập tin người dùng và cam kết giữ im lặng về vụ tấn công. “Trường hợp này khá phức tạp. Còn có một bên thứ ba liên quan đến vụ đánh cắp thông tin. Hai bị cáo cho biết họ đã hủy dữ liệu đó nhưng có một người thứ ba trong vụ tấn công. Và người đó không biết đến Uber”, Anderson cho biết.
Uber nói họ không thể bình luận khi cuộc điều tra đang diễn ra. LinkedIn cũng gặp trường hợp tương tự như Uber, nhưng công ty đã không trả tiền mà báo cáo vụ hack cho cảnh sát ngay lập tức.
Theo thông cáo báo chí của Bộ Tư Pháp Mỹ, hai bị cáo – Brandon Charles Glover và Vasile Mereacre – đã nhận tội tham gia vào âm mưu truy cập cơ sở dữ liệu bí mật của công ty trên nền tảng Amazon Web Services để đánh cắp thông tin. Sau khi tải dữ liệu về, hai bị cáo đã thông báo với Uber và LinkedIn rằng họ tìm thấy lỗ hổng trong hệ thống máy tính của nhân viên và yêu cầu hai công ty trả tiền để xóa dữ liệu. Glover và Mereacre sử dụng bí danh và tài khoản email mã hóa để liên hệ với hai công ty, đồng thời chia sẻ một mẫu dữ liệu bị đánh cắp để chứng minh hệ thống mạng của Uber và LinkedIn có lỗ hổng, sau đó đòi trả tiền để hủy những thông tin đó.
Đặc vụ FBI John F. Bennett cho biết để đối phó với những vụ tấn công mạng đang hoạt động ngày một tinh vi, FBI phụ thuộc rất nhiều vào sự hợp tác với các công ty tư nhân trong ngành công nghệ mạng. Các doanh nghiệp này càng báo cáo nhanh chóng cho cơ quan điều tra, FBI càng có nhiều cơ hội tìm và bắt giữ những hacker đứng sau vụ tấn công.
Glover và Mereacre cho biết họ đã cung cấp thông tin xác thực tài khoản Amazon Web Services của Uber cho một “hacker thành thạo về kỹ thuật”. Người này đã tìm thấy các tập tin lưu trữ 57 triệu hồ sơ người dùng Uber được tạo từ dữ liệu khách hàng và tài xế. Họ đã tải hồ sơ xuống và liên lạc với Uber vào tháng 11/2016, nói rằng hệ thống bảo mật của công ty có một lỗ hổng lớn. Hai bị cáo cho biết Uber cam kết sẽ trả 100.000 USD tiền Bitcoin thông qua bên thứ ba nếu họ ký thỏa thuận bảo mật. Công ty yêu cầu việc thanh toán được giữ bí mật và hai bị cáo phải hủy toàn bộ dữ liệu.
Sau ba tuần đàm phán, Uber đã thanh toán cho Glover và Mereacre vào tháng 12/2016. Tháng 1/2017, Uber thông báo với hai bị cáo rằng họ đã tìm ra danh tính thực của Glover. Đại diện công ty đã tìm gặp Glover lại nhà riêng của anh ta ở Florida (Mỹ). Tại đây, Glover thừa nhận vai trò của mình trong âm mưu đánh cắp dữ liệu, đồng thời ký thỏa thuận bảo mật bằng tên thật. Hai ngày sau, Uber gặp Mereacre ở Toronto (Canada). Tương tự như Glover, anh ta cũng thừa nhận và ký thỏa thuận bảo mật.
Trong trường hợp của LinkedIn, hai bị cáo cũng truy cập và đánh cắp thông tin hơn 90.000 tài khoản người dùng trên trang Lynda.com từ tài khoản Amazon Web Services. (Lynda.com là công ty con của LinkedIn).
Glover và Mereacre gửi email thông tin tài khoản người dùng và tống tiền LinkedIn tương tự như cách họ đã làm với Uber. Tuy nhiên, nhóm bảo mật của LinkedIn đã bắt đầu truy tìm nguồn gốc của email. Trái với Uber, công ty đã không trả tiền cho hai bị cáo và họ ngừng liên lạc từ tháng 1/2017.
Glover và Mereacre bị buộc tội âm mưu tống tiên liên quan đến máy tính và đang trong quá trình chờ tuyên án. Họ có thể đối mặt với án tù 5 năm cùng khoảng phạt 250.000 USD.
Theo Cnet