Hackers se declaram culpados por terem invadido e extorquido Uber e LinkedIn

Dois hackers, um canadense e outro americano, se declararam culpados de invadirem servidores da Uber e do LinkedIn, além de terem praticado extorsão contra as empresas. Eles exigiram altas somas em dinheiro de ambas para que os dados de usuários obtidos a partir de logins roubados de funcionários não fossem publicados na internet, representando um escândalo de segurança.

Os casos aconteceram entre 2016, com a Uber, e 2018, com o LinkedIn. 57 milhões de usuários do serviço de transportes teriam sido atingidos pela brecha de segurança, com o aplicativo chegando a pagar a soma exigida pelos criminosos. Enquanto isso, a invasão ao serviço de treinamentos Lynda.com, que pertence à rede social profissional, comprometeu de 55 mil a 90 mil contas.

Foi o caso envolvendo o LinkedIn que levou a questão à Justiça. Vasile Mereacre, do Canadá, e o americano Brandon Glover entraram em contato com a empresa fornecendo provas do conjunto de dados que tinham em mãos e exigindo dinheiro para que os dados não fossem vazados. A rede social se recusou a fazer isso e notificou os usuários atingidos, entrando em contato com mais de nove milhões deles e exigindo a troca das senhas. Foi aí que a polícia acabou envolvida, conseguindo chegar, mais tarde, aos bandidos.

Na negociação com a rede social, os hackers afirmaram que uma grande corporação já havia pago uma soma das grandes para que o sigilo dos dados fosse mantido. Eles estavam se referindo à Uber, que em 2016 transferiu US$ 100 mil de seu programa de caça a bugs para os criminosos. O pagamento veio a público como um dos escândalos da administração de Travis Kalanick na diretoria do serviço de transportes e resultou em uma multa de US$ 148 milhões pela não revelação da brecha de segurança aos usuários, bem como à demissão do então diretor de segurança da empresa, Joe Sullivan.

De acordo com as informações da investigação, Mereacre e Glover usaram engenharia social e malwares enviados por e-mail para conseguir acesso a logins e senhas de funcionários da Uber e LinkedIn. Com as credenciais, eles tiveram acesso a servidores da Amazon, contratados pelas empresas, e baixaram as informações dos usuários com a intenção de obterem ganhos financeiros a partir das tentativas de extorsão.

Os dois foram presos em outubro de 2018 pelo caso do LinkedIn, mas a justiça americana logo os indiciou pela invasão e extorsão contra a Uber. A admissão de culpa é parte de um processo judicial em andamento desde o começo do ano, que pode levar a dupla a encarar até cinco anos de prisão e o pagamento de uma multa que pode chegar a US$ 250 mil. A confissão deve fazer parte de um acordo para reduzir as penas, mas o termo do que foi acertado entre as defesas e a justiça não foi revelado.

Mereacre e Glover pagaram fiança e respondem ao processo em liberdade, com sentenciamento marcado para março. Uber e LinkedIn não se pronunciaram oficialmente sobre o assunto.

Fonte: Engadget