Uber支付了10万美元并让黑客在数据泄露后签署了保密协议

据美国司法部称，周三有两名男子在美国联邦法院对黑客和勒索包括优步和LinkedIn的公司认罪。该黑客们索要钱财，从公司，以换取同意删除他们偷了机密数据。 据 CNET的姊妹网站CBS News周四报道，Uber据称是向黑客支付了10万美元，而不是向警方报告了这一违规行为，并且让两名黑客签署了保密协议。

北加州美国律师戴夫·安德森(Dave Anderson)告诉CBS新闻，优步“绝对”采取不负责任的行动，要求黑客删除5700万用户文件并承诺对黑客保持沉默。

安德森说：“这种情况很不寻常。” 他声称，此外，还有第三方参与了数据泄露。“我们知道被告说他们销毁了这些数据……但是黑客中有第三名参与者。而Uber未知该第三名参与者。” Uber告诉哥伦比亚广播公司，它无法对正在进行的刑事调查发表评论。

相比之下，检察官表示，LinkedIn并未付款，并在当时向警方报告了这一黑客行为。

根据美国司法部的新闻稿，认罪的两个人是布兰登·查尔斯·格洛弗和瓦西里·梅里亚克，他们承认他们参与了一起阴谋，利用被盗的凭证访问亚马逊网络服务上的机密公司数据库。下载信息后，Glover和Mereacre告诉公司，他们发现员工使用该系统存在漏洞。美国司法部说，他们随后要求公司给他们钱，以换取删除数据，这是CNET姊妹网站ZDNet周三早些时候报道的。

美国司法部说，这些人使用别名和加密的电子邮件帐户与公司联系，并告诉他们他们的数据容易受到攻击。他们还共享了一个被盗数据的样本，以表明其系统已被破坏，然后要求退款以删除数据。

联邦调查局负责特工约翰·本内特(John F. Bennett)在一份声明中说：“我们正在与世界上最先进的网络参与者打交道。” “为了在网络安全战的最前线与这些人接洽，我们在很大程度上依赖于我们宝贵的关系并与网络行业的私营部门公司进行公开对话。他们愿意迅速向调查人员报告入侵，这使我们能够找到并逮捕他们那些违反数据的人。”

Glover和Mereacre表示，他们将Uber的Amazon Web Services帐户的凭据提供给了“技术熟练的黑客”，该黑客发现了包含5700万个由客户和驱动程序数据组成的Uber用户记录的存档文件。这些人说他们非法下载了这些记录，并于2016年11月联系了Uber，说他们发现了这家拼车公司的计算机安全系统中的一个重大漏洞。根据被告的辩诉，优步表示，如果被告签署保密协议，它将通过第三方向这名男子支付100,000美元的比特币。该公司要求付款保密，并要求这些人销毁数据。

经过三周的谈判，Uber在12月付款。2017年1月，Uber告诉被告，它已经找到了Glover的真实身份。该公司的一位代表在佛罗里达州的家中会见了格洛弗，在那里他承认了自己在该地块中的作用，并以其真实姓名签署了保密协议。两天后，Uber代表在多伦多会见了Mereacre，他也承认自己在违规行为中的作用并签署了保密协议。

同样，被告也获得了超过90,000个Lynda.com机密用户帐户的信息，他们已从平台的Amazon Web Services帐户非法访问和下载了该帐户。(LinkedIn是Lynda.com的母公司。)在将一些用户帐户信息通过电子邮件发送给LinkedIn的安全团队并要求赔偿删除数据后，LinkedIn开始搜索电子邮件的来源。

被告对LinkedIn代表说：“请记住，请您支付一笔大笔款项，因为这对我们来说是一项艰苦的工作，我们已经帮助了一家支付近七位数数字的大公司，一切进展顺利。” 这些人于2017年1月停止与LinkedIn交流，该公司最终没有向他们付款。

Glover和Mereacre各自被控以一项串谋实施勒索计算机罪名。他们已被释放，等待定罪。美国地方法院法官露西·高(Lucy H.Koh)计划于2020年3月18日举行量刑状态会议。这些男子可能面临最高五年的监禁和25万美元的罚款。

领英(LinkedIn)代表在一份声明中说：“我们感谢美国检察官办公室正在进行的工作，以追究并将2016年违反Lynda用户信息的责任者绳之以法。” “我们很高兴看到本次调查的决议。”