Security Forensics Pericia

Hackers contam como invadiram a Uber em 2016

Da Redação
15/09/2022

Quando Fletcher informou a Mereacre que a “recompensa” máxima que o Uber normalmente paga é de apenas US$ 10.000, Mereacre recuou, escrevendo: “Nossa equipe não divulgará essa vulnerabilidade por 10 mil. Nosso mínimo é de seis dígitos.”

Quatro dias após o hack, Fletcher escreveu a Mereacre que conseguiu aprovação para uma recompensa de US$ 100.000, com uma ressalva. “Com um caso como esse, temos um formulário de confidencialidade que precisa ser assinado por você e sua equipe. Essencialmente, afirma que você excluiu todos os dados e concorda em não discutir isso publicamente. Eu assinei e enviei. . . . você pode fornecer endereços de e-mail para os outros membros de sua equipe para que eu possa obter uma cópia para eles também? Depois disso, o Hacker one liberará o pagamento e acho que podemos encerrar isso.”

Tanto Mereacre quanto Glover receberam cópias de um acordo de confidencialidade, no qual atestavam falsamente que não baixavam ou armazenavam nenhum dado. Ambos assinaram o acordo usando nomes falsos – Mereacre com seu pseudônimo de John Doughs, Glover como “Scott Wilson”.

“Infelizmente, nossa equipe jurídica disse que não posso pagar a John Doughs, já que fomos auditados por conformidade com ‘OFAC e leis de suborno’ e não podemos simplesmente enviar US$ 100 mil para a natureza”, escreveu Fletcher de volta. “Eles disseram que você deveria estar bem em assinar seu nome verdadeiro.”

“Na época, tive a sensação de que eles não comprariam o nome John Doughs”, disse Mereacre ao júri. Então ele assinou um segundo NDA como “William Loafman”.

O subterfúgio tornou difícil para Mereacre coletar a recompensa. Primeiro, a exchange de criptomoedas Coinbase sinalizou o pagamento como fraudulento porque era muito alto. E o HackerOne exigiu que Mereacre e Glover enviassem formulários fiscais e outras informações para verificar suas identidades reais. Mereacre perguntou a Fletcher se eles poderiam ignorar o programa HackerOne. Um e-mail que ele enviou para Fletcher em 29 de novembro dizia: “Eu apreciaria muito se viesse de vocês, em vez de um hacker. Eles exigem muitas informações que eu não tenho (e depois vão para a Coinbase, eles são conhecidos por reter dinheiro por um longo tempo) Outras empresas que gostam de pedir todos os detalhes.”

Em 5 de dezembro, Mereacre estava ficando impaciente. Ele escreveu a Fletcher: “Por favor, lembre-se de que o contrato afirma que ‘todos os dados serão excluídos assim que o dinheiro for pago’. A bola está do seu lado. Vou deixar meu endereço de bitcoin nesta mensagem e você terá que falar com o gerente superior sobre o que vocês decidirem fazer.”

Mereacre disse ao júri: “Eu estava dizendo que ainda temos posse dos dados e gostaríamos de ser pagos ou então”.

Em 7 de dezembro, Fletcher respondeu: “Ei, acho que temos algum movimento. Achamos que podemos conseguir que o hacker one o libere se o assinarmos com base em nosso contrato.”

Continua na página 5

Com informações do Courthouse News Service

Compartilhar: