[ 187,826 page views, 63,177 usuários - média últimos 90 dias ] - [ 5.806 assinantes na newsletter, taxa de abertura 27% ]

Security Forensics Pericia

Hackers contam como invadiram a Uber em 2016

Eles então decidiram entrar em contato com o Uber e exigir um resgate. “Pensamos em entrar em contato com o Uber para ver se conseguiríamos algum dinheiro com isso”, disse Mereacre.

Mereacre usou o pseudônimo “John Doughs” em seu e-mail para o chefe de segurança Joe Sullivan. “Não queríamos que nossas identidades fossem públicas por causa da forma como obtivemos os dados e os baixamos”, disse Mereacre. “O processo foi ilegal.”

Seu e-mail dizia: “Olá Joe. Encontrei uma grande vulnerabilidade no uber, consegui baixar o banco de dados do Uber e muitas outras coisas.”

Sullivan não lidou com a violação por conta própria, embora ele sozinho seja acusado de ocultar a violação das autoridades e obstruir uma investigação da Comissão Federal de Comércio sobre as práticas de segurança do Uber.

Além de seu e-mail inicial para Sullivan, Mereacre se comunicava quase exclusivamente com Rob Fletcher, membro da equipe de resposta de segurança da empresa. Embora o nome de Fletcher estivesse nos e-mails, eles foram escritos em colaboração com outros membros da equipe, incluindo Sullivan e o advogado interno da Uber.

Fletcher disse em seu depoimento na segunda-feira que ele e sua equipe pensaram originalmente que o e-mail de “John Doughs” era uma farsa. Não era uma conclusão irracional; Fletcher dirigia o programa “bug bounty” da empresa, onde hackers (as empresas preferem chamá-los de pesquisadores) são pagos para procurar e relatar falhas de segurança. Ele disse que a maioria dos chamados bugs que são relatados são “lixo”.

Os promotores mostraram ao júri uma mensagem inicial que Fletcher enviou ao colega Collin Greene, que mostrou sua avaliação inicial da situação: “lol Posso quase garantir que isso é besteira, mas continuará a mantê-lo em loop :)”.

Mas uma longa série de e-mails entre Fletcher e John Doughs revelou a gravidade da situação à medida que se desenrolava. Fletcher pediu a Doughs que lhe mostrasse alguma prova e pediu que ele interagisse por meio do programa de recompensas de bugs que o Uber executou em parceria com o site HackerOne. Mereacre, ainda conhecido como Doughs, respondeu com uma amostra dos dados baixados pelo próprio Fletcher. Fletcher respondeu: “Legal alguns dos valores parecem preocupantes – nós certamente pagamos recompensas por relatórios qualificados. Para validar o problema, podemos produzir etapas de reprodução?”

Continua na página 3

Com informações do Courthouse News Service