行业新闻与博客

两名北美男子对入侵和勒索 Uber 和 LinkedIn 的 Lynda.com 业务表示认罪，在此过程中损害了数千万用户的数据。

美国佛罗里达州温特斯普林斯市的 26 岁的布兰登·查尔斯·格洛弗（Brandon Charles Glover）和加拿大多伦多的 23 岁的瓦西里·梅里亚克（Vasile Mereacre）对一项指控共谋实施计算机勒索的罪名均表示认罪。他们可能将面临五年的徒刑，并因此被罚款 25 万美元。

据说这两个人都使用了定制的 GitHub 帐户检查器工具来尝试许多已经违反的公司凭据，并查看它们是否在开发人员站点上解锁了帐户。在访问了属于 Uber 员工的多个帐户后，他们发现了 AWS 凭证，从而解锁了在线出租车公司的 AWS S3 数据存储。

然后，他们使用加密的 ProntonMail 地址联系了 Uber 的 CSO，声称发现其系统中存在漏洞，并要求付款以删除被盗用的客户和驾驶员数据-记录已达 5700 万。

Uber 最终同意，通过其 HackerOne 帐户向他们支付了所要求的 100,000 美元比特币，然后掩盖了这一事件，直到新任 CEO 决定在 2017年卸任。

法庭文件显示，格洛弗和梅雷阿雷克受到成功的鼓舞，随后通过在线教育公司的 AWS S3 帐户访问了 90,000 个 Lynda.com 帐户，并尝试了同样的敲诈手段。

但是，这一次该公司因违规而公开。

这两起事件几乎像案例研究一样，以正确和错误的方式处理与违规相关的勒索要求。

以优步为例，它最终与美国政府达成和解，赔偿金额达 1.48 亿美元，同时向英国信息专员办公室（ICO）支付了 385,000 英镑的罚款。鉴于有 270 万英国顾客和司机受到违规行为的影响，因此能够摆脱 GDPR 监管机构的愤怒是幸运的。