Hacker nhận tội trộm 1,1 TB dữ liệu nội bộ của Disney qua Slack

Hacker người Mỹ có khả năng bị phạt đến 10 năm tù vì trộm 1,1 terabyte (TB) dữ liệu từ Disney qua nền tảng Slack.

Ryan Mitchell Kramer, sống tại California (Mỹ) nhận tội trước tòa án liên bang vì đã xâm nhập trái phép vào máy tính cá nhân của một nhân viên Disney, từ đó đánh cắp hơn 1,1 TB dữ liệu nội bộ của tập đoàn này thông qua nền tảng Slack.

Theo Bộ Tư pháp Mỹ, vào đầu năm 2024, Kramer phát tán một phần mềm độc hại giả mạo là công cụ tạo ảnh bằng AI trên các nền tảng như GitHub, Hugging Face và Reddit. Khi được tải về và cài đặt, phần mềm này sẽ tiêm mã độc vào máy tính giúp Kramer truy cập từ xa mà nạn nhân không hề hay biết.

Báo cáo cho biết một nhân viên của Disney đã vô tình tải về và tạo điều kiện cho Kramer xâm nhập vào máy tính, thu thập các thông tin đăng nhập vào tài khoản Slack nội bộ của tập đoàn. Hacker 25 tuổi này đã truy cập vào hàng nghìn kênh Slack nội bộ và tải xuống khoảng 1,1 TB dữ liệu nhạy cảm trong khoảng từ tháng 4 đến tháng 5.2024. Slack là nền tảng truyền thông được nhiều công ty sử dụng với không gian làm việc trực tuyến cho phép nhân viên cộng tác và trao đổi ý tưởng và tập tin.

Theo WSJ, dữ liệu bị hacker này lấy đi bao gồm hơn 44 triệu tin nhắn Slack, thông tin tài chính từ các dịch vụ như Disney+ và ESPN+, thông tin cá nhân của nhân viên và khách hàng, cũng như các tài liệu nội bộ về phát triển phần mềm và chiến lược kinh doanh.

Đến tháng 7.2024, Kramer đã liên hệ với nạn nhân qua email và Discord, giả danh là thành viên của nhóm hacker từ Nga có tên Nullbulge, đe dọa sẽ công bố dữ liệu nếu không nhận được phản hồi. Đến ngày 12.7.2024, Kramer đã công bố dữ liệu bị đánh cắp, bao gồm thông tin ngân hàng, y tế và cá nhân của nạn nhân trên nhiều nền tảng trực tuyến.

Kramer thừa nhận rằng nhân viên của Disney là một trong ít nhất ba nạn nhân bị anh ta truy cập vào máy tính. Hacker này đối mặt với hai cáo buộc hình sự là truy cập trái phép vào hệ thống máy tính và đe dọa gây hại đến hệ thống được bảo vệ, với mức án tối đa là 10 năm tù giam cộng với 3 năm quản chế cùng khoản tiền phạt 500.000 USD.

Sự cố này đã khiến Disney không hài lòng với Slack, vào tháng 9 năm ngoái WSJ cho biết công ty đã bắt đầu chuyển đổi sang các công cụ cộng tác khác trên toàn doanh nghiệp.