Uber

Uber et LinkedIn, ciblés par des pirates voulant leur extorquer de l’argent

Deux pirates ont plaidé coupable pour avoir fait du chantage à Uber, LinkedIn et d’autres entreprises américaines. Ils avaient subtilisé des données depuis l’année 2016 et promettaient de supprimer ces données si ces entreprises les payaient.

Dans un tribunal de San Jose en Californie, Brandon Charles Glover (26 ans) de Floride et Vasile Mereacre (23 ans) de Toronto ont admis avoir pénétré et téléchargé des bases de données confidentielles sur Amazon Web Services en utilisant des informations de connexion volées.

Après avoir téléchargé les données, le duo a contacté les compagnies affectées pour signaler les vulnérabilités et demandé de l’argent en échange de la suppression des données, selon un communiqué de presse publié par le département de la justice des Etats-Unis.

“J’ai été capable d’accéder aux sauvegardes des sauvegardes, mon équipe et moi voulons une énorme récompense pour cela,” ont déclaré les hackers dans un email destiné aux compagnies.

“Nous attendons un gros paiement car c’était une lourde tache pour nous, nous avons déjà aidé une grosse entreprise qui nous a payé avec un montant à 7 chiffres, tout s’est bien passé.”

Les pirates ont accéder aux données sensibles de 57 millions d’utilisateurs et d’employés de Uber. L’entreprise américaine a payé 100 000 dollars pour tenter de garder la brèche secrète.

Uber

“Les accusés ont utilisé de faux noms pour communiquer avec les entreprises et ont affirmé qu’ils avaient été payé par d’autres entreprises pour avoir identifié des vulnérabilités,” peut-on lire dans les accusations.

“Ils ont aussi envoyé aux compagnies un échantillon de données pour qu’elles vérifient l’authenticité des données.”

L’acte d’accusation a aussi révélé que le duo a extorqué LinkedIn de la même façon en Décembre 2016, informant la compagnie qu’ils avaient compromis des bases de données de Lynda(.)com (compagnie enfant de LinkedIn) et subtilisé les données de près de de 90 000 utilisateurs, y compris leurs informations de carte de crédit.

Il a également été signalé que Uber a envoyé une équipe médico-légale au domicile des pirates en Floride et au Canada pour analyser leurs ordinateurs et être sûr que toutes les données volées ont été supprimé. Ils ont aussi demandé aux pirates de signer un accord de non-divulgation.

Uber voulait garder cela secret

Uber a attendu un an avant de révéler la brèche de donnée d’Octobre 2016 et a dû payer un total de 148 millions de dollars dans les 50 états américains et Washington DC. Les régulateurs Britanniques et Hollandais ont fait payer la compagnie une amende de 1,1 millions de dollars.

Uber a aussi caché cette brèche de donnée à la Commission Fédérale de Commerce (FTC) qui enquêtait sur un autre incident impliquant la compagnie. Ils avaient seulement révélé une autre brèche de 2016 et une de fin 2017 quand l’incident a été rendu publique.

Glover et Mereacre risquent un maximum de cinq ans de prison et une amende de 250 000 dollars.

Si cet article vous a plu, jetez un œil à notre précédent article.