2人の男が、アマゾンのクラウドにホストされているデータベースから機密情報を盗み出し、そのデータのコピーを削除するのに金銭を要求したことを認めた。
アメリカ、フロリダ州ウィンタースプリングス在住のブランドン・チャールズ・グローバー(26)とカナダ、トロント在住のヴァシル・メレアカー(23)は、水曜日にカリフォルニア州サンノゼの裁判所で、コンピューターを利用した恐喝共謀罪1件につきそれぞれ有罪を認めた。罪を認め、長期にわたる裁判を放棄することに同意した2人は、それぞれ最長5年の懲役と25万ドルの罰金を科せられることになる。判決は3月に言い渡される。
2人は2016年後半に詐欺を企てた。アマゾン ウェブ サービスがホストするデータベースでホストされているUberのバックエンド データベースへの秘密アクセス キーを入手し、その認証情報を「技術に長けたハッカー」に渡した。ハッカーはその情報を使ってリポジトリを調べ、興味深いアーカイブを探し出した。
その後、グローバー氏とメレアカー氏は約5,700万件の顧客およびドライバーの個人記録をダウンロードした。
その後、グローバー氏とメレアカー氏はプロトンメールのアドレス経由でウーバーに連絡し、ローカルストレージからデータを破壊するための金銭を要求し、品物を所有していたことを証明する小さなサンプルをメールに同封した。
Uber:ハッカーが乗客5700万人とドライバーの情報を盗んだ。さらに、犯人に黙ってもらうために10万ドルの賄賂を渡した。
続きを読む
Uberの幹部は警察を呼ぶ代わりに、2人に会い、盗まれたファイルを消去する報酬としてそれぞれ5万ドルを支払うことに同意した。幹部らは、この件を秘密にするため、2人に秘密保持契約に署名させた。また、Uberは、タクシーアプリ開発会社に対する別のハッキング攻撃を捜査していたアメリカの貿易監督機関FTC(連邦取引委員会)からもデータベースへの侵入を隠蔽した。
勢いづいた二人は、現在LinkedIn傘下となっているLynda.comでも同じ手口を試みた。「覚えておいてください。これは私たちにとって大変な仕事でしたので、多額の報酬を期待しています。既に大企業を支援し、7桁近い金額を支払ってもらい、すべてうまくいきました」と、二人はLyndaのスタッフに脅迫状を送り、その内容をメモに残した。Lyndaは彼らにそのメモをどこにしまい込むか指示し、警察に通報した。
「2016年に発生したLyndaのユーザー情報漏洩の責任者を追及し、法の裁きを受けさせるため、米国連邦検事局が継続的に取り組んでいることに感謝する」と、オンライン教育企業は本日The Register紙に述べた。「この捜査が解決したことを嬉しく思う。」
検察当局はウーバーのサイバー侵入隠蔽の試みに不快感を示し、サンフランシスコを拠点とするこの新興テクノロジー企業を激しく非難した。
「Uberのような企業は、顧客の個人情報の所有者ではなく、管理者です」と、北カリフォルニアの米国連邦検事デビッド・アンダーソン氏はThe Regへのメールで述べた。「コンピューター恐喝で盗まれたものは、あなたの隣人のものであり、あなた自身のものではありません。自分のイメージや評判を気にしすぎないでください。他の人々が実際に被った損失を心配してください。侵入行為は速やかに報告し、法執行機関に協力してください。」
Uberが事態を隠蔽し、2人に金銭を支払ったことで、最終的に少額の損失を被った。同社は最終的に米国の各州に1億4,800万ドルの和解金を支払ったが、この決定により、セキュリティチームの少なくとも2人が解雇された。その中には、ケンブリッジ・アナリティカ事件の際にFacebookの最高セキュリティ責任者を務め、現在はCloudflareの最高セキュリティ責任者(CSO)を務めていたジョー・サリバン氏も含まれている。
「我々は世界で最も洗練されたサイバー犯罪者達と対峙している」とFBIのジョン・ベネット特別捜査官は電子メールでコメントした。
サイバーセキュリティの最前線で戦う人々と対峙するために、私たちはサイバー業界の民間企業との貴重な関係とオープンな対話に大きく依存しています。彼らが侵入を迅速に調査員に報告してくれるおかげで、データ侵害の犯人を発見し、逮捕することが可能なのです。®
