Security Forensics Pericia

Hackers contam como invadiram a Uber em 2016

Da Redação
15/09/2022

Mas Mereacre não estava mordendo a isca. Sob interrogatório do procurador assistente dos EUA, Andrew Dawson, ele disse que ele e Glover estavam procurando um grande pagamento.

“Era sua intenção extorquir Uber?” Dawson perguntou, ao que Mereacre respondeu: “Sim”.

Os primeiros emails para Fletcher indicam uma tendência ameaçadora. “Antes de continuarmos, quero perguntar quanto vocês estão dispostos a pagar por isso?” Mereacre escreveu: “Não é uma vulnerabilidade, é uma falta de segurança. E essa falta de segurança faz com que todos os dados sejam expostos”.

Mas apenas para jogar junto, Mereacre criou uma conta no HackerOne, embora ele tenha dito que, ao ignorar as diretrizes, não lhe pareceu que seu hack se qualificaria, já que ele e Glover já haviam roubado dados.

Ele também disse ao Uber, por meio de um e-mail para Fletcher, sobre o descuido da empresa com senhas, especificamente sua falta de autenticação de dois fatores e liderança negligente de uma chave da AWS em um site público. “O Uber deve ter autenticação obrigatória em duas etapas no GitHub”, escreveu ele. “TODOS os dados INTERNOS puderam ser baixados e vistos. Suas etapas de segurança são muito mal feitas, a falta de negligência [sic] e cuidado aqui é zero a nenhum. Seus funcionários são descuidados e não se preocupam com a segurança.”

Ele disse que ele e sua “equipe” também violaram servidores de propriedade da Stubhub, Seatgeek e Lynda.com, uma empresa de aprendizado on-line agora de propriedade do LinkedIn.

Continua na página 4

Com informações do Courthouse News Service

Compartilhar: