Cyberthreat.id - Dua peretas topi abu-abu mengaku bersalah memeras Uber, LinkedIn, dan perusahaan AS lainnya demi uang sebagai imbalan atas janji menghapus data jutaan pelanggan yang telah mereka curi pada akhir 2016.

Di gedung pengadilan San Jose di California pada Rabu lalu, Brandon Charles Glover (26) dari Florida dan Vasile Mereacre (23) dari Toronto mengakui mereka mengakses dan mengunduh basis data perusahaan di Amazon Web Services menggunakan kredensial curian.

"Setelah mengunduh data, keduanya menghubungi perusahaan yang terkena dampak untuk melaporkan kerentanan keamanan dan meminta uang sebagai imbalan untuk penghapusan data," tulis siaran pers yang diterbitkan oleh Departemen Kehakiman AS sebagaimana disadur The Hacker News.

"Saya dapat mengakses cadangan, saya dan tim saya ingin hadiah besar untuk ini," kata peretas itu kepada perusahaan korban melalui email.

"Harap diingat, kami mengharapkan pembayaran besar karena ini adalah kerja keras bagi kami, kami telah membantu sebuah perusahaan besar yang membayar hampir 7 digit, semua berjalan dengan baik."

Seperti yang dilaporkan The Hacker News dua tahun lalu, para peretas berhasil mengakses dan mengunduh informasi sensitif 57 juta pengendara dan pengemudi Uber secara tidak patut, yang menurut laporan itu Uber membayar mereka $ 100.000 dalam bitcoin dalam upaya untuk menutupi pelanggaran.

"Para terdakwa menggunakan nama palsu untuk berkomunikasi dengan perusahaan korban, dan, pada beberapa kesempatan, memberi tahu perusahaan korban bahwa mereka telah dibayar oleh perusahaan korban lain untuk mengidentifikasi kerentanan keamanan," tulis surat dakwaan tersebut.

"Mereka juga mengirim ke perusahaan-perusahaan korban sampel data agar perusahaan korban  memverifikasi keaslian data."

Surat dakwaan tersebut juga mengungkapkan bahwa keduanya memeras LinkedIn dengan cara yang sama pada Desember 2016, memberi tahu perusahaan bahwa mereka telah mengkompromikan basis data anak perusahaan LinkedIn Lynda.com dan mencuri lebih dari 90.000 catatan pengguna, termasuk informasi kartu kredit mereka.

Pada saat itu, dilaporkan juga bahwa Uber mengirim tim forensiknya ke rumah para peretas di Florida dan Kanada untuk menganalisis komputer mereka untuk memastikan semua data yang dicuri telah dihapus dan para peretas juga menandatangani perjanjian non-pengungkapan untuk mencegah kesalahan lebih lanjut.

Uber menunggu satu tahun untuk mengungkapkan pelanggaran data Oktober 2016, yang kemudian diperintahkan oleh jaksa agung dari semua 50 negara bagian dan District of Columbia untuk membayar $ 148 juta di seluruh 50 negara bagian dan Washington DC untuk menyelesaikan penyelidikan.

Regulator perlindungan data Inggris dan Belanda juga memukul perusahaan berbagi perjalanan dengan denda total sekitar $ 1,1 juta karena gagal melindungi informasi pribadi pelanggannya selama serangan cyber 2016.

Pada saat itu, dilaporkan juga bahwa Uber menyembunyikan insiden pelanggaran data dari Komisi Perdagangan Federal AS (FTC), yang sedang menyelidiki insiden peretasan lainnya terhadap perusahaan, dan hanya memberi tahu komisi tentang pelanggaran 2016 pada akhir 2017 ketika insiden tersebut dipublikasikan.

Glover dan Mereacre masing-masing mengaku bersalah atas satu tuduhan konspirasi untuk melakukan pemerasan dan ditetapkan untuk menghadapi maksimum lima tahun penjara dan denda $ 250.000 ketika mereka dijatuhi hukuman.

Duo ini telah dirilis pada obligasi dan akan dihukum pada Maret 2020.[]