Ukradli dane 57 milionów użytkowników Ubera (70 000 z Polski) i wymusili okup $100 000 (pod przykrywką Bug Bounty). Teraz zostali uznani winnymi.

Miało być pięknie, od strony atakujących wszystko legalnie – za obietnicę wykasowania 57 milionów rekordów danych o użytkownikach Ubera mieli otrzymać nagrodę w ramach programu Bug Bounty. Pieniądze te zresztą dostali za pośrednictwem serwisu HackerOne (2016 r.). Nie ma danych – nie ma problemu, wtedy Uber nie poinformował o temacie w zasadzie nikogo.

Coś się jednak musiało wydarzyć i Uber w 2017 roku posypał głowę popiołem (wskazując jednocześnie że incydent dotyczył 70 000 użytkowników z Polski). Sprawa potoczyła się dalej i finalnie dwóch „hackerów” uznano winnymi. Grozi im kara do $250 000 oraz do 5 lat więzienia.

Od strony technicznej cały hack był dość prosty, najpierw skorzystanie z wykradzionych credentiali do GitHuba, uzyskanie dostępu do paru kont pracowników Ubera, odzyskanie stamtąd dostępów do amazonowego S3 i finalnie kradzież danych.

–ms