Okuma Süresi
2 dakika

2016’da Uber ve Linkedln’e yönelik yapılan siber saldırıda yer alan iki bilgisayar korsanı, suçlarını itiraf etti. Bilgisayar korsanları 5’er yıl hapis yatacak ve her ikisi de 250 bin dolar para cezası ödeyecek.

Uber ve Linkedln’e 2016’da büyük bir siber saldırı düzenlendi. Bilgisayar korsanları, her iki şirketin sistemlerine sızarak, ele geçirdikleri verilerle şirketlere şantaj yaptı. Olay resmi kurumlara da yansıyınca bilgisayar korsanlarının peşine düşülmüştü. Bu saldırıyı gerçekleştiren bilgisayar korsanlarından birinin 26 yaşındaki Brandon Glover, diğerinin ise 23 yaşındaki Vasile Mereacre olduğu tespit edildi.

Mahkeme belgelerine göre, 2016 yılında ikisi, GitHub hizmetine karşı diğer sitelere sızan kimlik bilgilerini test etmek için “özel yapım GitHub hesap denetleyicisi aracı”nı kullandılar. Özellikle kurumsal çalışanlar için kimlik bilgilerini hedef aldılar, böylece yüksek değerli GitHub hesaplarını ihlal edebilir ve hassas bilgiler arayabilirlerdi.

Hesapları ihlal ettiklerinde, Glover ve Mereacre şirketlerin GitHub projelerini Amazon İnternet Servisleri (AWS) kimlik bilgileri için arayacaklardı. Bu ikisi, şirketin arka uçlarına bağlanmak, kullanıcı detayları veya yedeklemeler gibi hassas verileri almak için bu AWS kimlik bilgilerini kullandı.

Mahkeme belgeleri, ikisinin Uber’den yaklaşık 57 milyon kullanıcı ve sürücü kaydı ve LinkedIn’in sahip olduğu bir eğitim sitesi olan Lynda.com’dan ise 90 bin kullanıcı detayı sızdırdı.

Kullanıcı verilerini elinde bulunduran Glover ve Mereacre, daha sonra saldırıya uğramış şirketlerle iletişim kurmak için bir Protonmail e-posta adresi oluşturdu. Uber ile Kasım 2016’nın başlarında, temas kurdular. İki bilgisayar korsanı “büyük bir güvenlik açığı” bulduğunu iddia etti ve çalınan verilerden bir örnek verdi. İkili, Uber’in kabul ettiği bitcoin cinsinden 100.000 dolarlık bir ödeme talep etti. Ödeme, şirketin HackerOne hata ödül programı aracılığıyla gerçekleştirildi ve Uber, iki bilgisayar korsanının verilerin kullanımını ve güvenlik açığının kamuya açıklanmasını yasaklayan bir gizlilik sözleşmesi imzalamasını istedi. Uber, güvenlik ihlali bir yıldan uzun süre sessiz kalmayı başardı, Kasım 2017’ye kadar.

Ancak 2017 yılına gelindiğinde şirket, üzeri kapatılan olayı kamuoyu ile paylaştı ve mahkemeye başvurdu. Mahkeme, Uber’i böyle bir olayı örtbas ettiği için İngiltere’de 385 bin pound, Hollanda’da ise 600 bin euro cezaya mahkum etti. Şirket ayrıca dava nedeniyle 148 milyon dolar daha ödeme yapmayı kabul etti.

Linkedln’de ise durum biraz daha farklı ilerledi. Şirket, bilgisayar korsanlarına ödeme yapmayı kabul etti ancak gizlilik sözleşmesini reddetti. Bilgisayar korsanları fidyenin miktarını 1 milyon dolara çıkardı. Ancak bilgisayar korsanlarının bu istekleri de kabul edilmedi. Olay, kısa bir süre içerisinde adli makamlara taşındı.

İki hacker Kaliforniya mahkemesinde suçunu kabul etti. Mahkeme, iki bilgisayar korsanına 5’er yıla kadar hapis cezası ve her ikisinin de 250 bin dolar ödemesine hükmetti.