Hai người đàn ông đã bị buộc tội vì vai trò bị cáo buộc của họ trong hack năm ngoái của cổng thông tin điện tử của Cơ quan Thực thi Ma túy, như báo cáo trước đó bởi Gizmodo. TRONG một thông cáo báo chí được đăng đầu tuần này, Bộ Tư pháp cho biết Sagar Steven Singh và Nicholas Ceraolo đã đánh cắp thông tin đăng nhập của một sĩ quan cảnh sát để truy cập cơ sở dữ liệu thực thi pháp luật liên bang mà họ đã sử dụng để tống tiền nạn nhân.
Các công tố viên tuyên bố Singh 19 tuổi và Ceraolo 25 tuổi là thành viên của một nhóm hack có tên là Vile, nhóm này thường đánh cắp thông tin cá nhân của các nạn nhân và sau đó đe dọa sẽ tấn công họ trực tuyến nếu họ không nhận được khoản thanh toán. Mặc dù DOJ không nói rõ ràng Singh và Ceraolo bị cáo buộc đã xâm nhập vào cơ quan nào, nhưng nó tuyên bố rằng cổng thông tin chứa “hồ sơ chi tiết, không công khai về các vụ bắt giữ ma túy và tiền tệ, cũng như các báo cáo tình báo của cơ quan thực thi pháp luật.” bài hát này với một báo cáo từ Krebs về bảo mật điều đó chỉ ra vụ hack có liên quan đến DEA.
Theo đơn khiếu nại, Singh đã sử dụng thông tin từ cổng thông tin liên bang để đe dọa các nạn nhân của mình và trong một trường hợp, Singh đã viết cho một người rằng anh ta sẽ làm hại gia đình họ trừ khi họ cung cấp cho anh ta thông tin đăng nhập vào tài khoản Instagram của họ. Sau đó, anh ta đính kèm số an sinh xã hội, số bằng lái xe, địa chỉ nhà và các thông tin cá nhân khác mà anh ta thu thập được từ cơ sở dữ liệu của chính phủ vào lời đe dọa của mình.
Yêu cầu dữ liệu khẩn cấp giả ngày càng trở nên phổ biến.
“Bởi vì [the] cổng thông tin, tôi có thể yêu cầu thông tin về bất kỳ ai ở Hoa Kỳ không quan trọng là ai, không ai được an toàn,” Singh được cho là đã viết cho nạn nhân. “Bạn sẽ tuân theo tôi nếu bạn không muốn bất cứ điều gì tiêu cực xảy ra với cha mẹ của bạn.”
Trong khi đó, Ceraolo đã sử dụng cổng thông tin để lấy thông tin đăng nhập email của một sĩ quan cảnh sát Bangladesh. Ceraolo bị cáo buộc đã giả làm sĩ quan trong khi trao đổi thư từ với một nền tảng truyền thông xã hội giấu tên và thuyết phục trang này cung cấp địa chỉ nhà, địa chỉ email và số điện thoại của một người dùng cụ thể dưới chiêu bài rằng nạn nhân “đã tham gia vào ‘tống tiền trẻ em’, tống tiền, và đe dọa chính phủ Bangladesh.” Ceraolo bị cáo buộc đã cố gắng lừa đảo một nền tảng trò chơi phổ biến và công ty nhận dạng khuôn mặt theo cách tương tự, nhưng cả hai đều từ chối yêu cầu.
Trò lừa đảo do Ceraolo thực hiện ngày càng trở nên phổ biến. Năm ngoái, một báo cáo từ Bloomberg tiết lộ rằng Apple, Meta và Discord đã trở thành nạn nhân của những mánh khóe tương tự liên quan đến tin tặc đóng giả cảnh sát để tìm kiếm các yêu cầu dữ liệu khẩn cấp. Mặc dù cơ quan thực thi pháp luật đôi khi yêu cầu các trang web truyền thông xã hội cung cấp dữ liệu về một người dùng cụ thể nếu họ có liên quan đến tội phạm, nhưng điều này yêu cầu trát đòi hầu tòa hoặc lệnh khám xét do thẩm phán ký. Tuy nhiên, yêu cầu dữ liệu khẩn cấp không cần loại phê duyệt này, đó là điều mà tin tặc đang lợi dụng.
Như đã chỉ ra bởi Krebs về bảo mậtCeraolo đã thực sự được mô tả là một nhà nghiên cứu bảo mật trong nhiều báo cáo ghi nhận ông đã phát hiện ra các lỗ hổng bảo mật liên quan đến T-Mobile, AT&TVà Truyền thông Cox. Cơ quan thực thi pháp luật đã đột kích vào nhà của Ceraolo vào tháng 5 năm 2022 trước khi khám xét nơi ở của Singh vào tháng 9.
Trong khi Singh bị bắt ở Pawtucket, Rhode Island hôm thứ Ba, Ceraolo tự nộp mình ngay sau khi DOJ công bố cáo buộc của mình. Theo DOJ, Ceraolo phải đối mặt với án tù lên tới 20 năm vì âm mưu thực hiện hành vi lừa đảo qua đường dây và cả Ceraolo và Singh có thể phải đối mặt với 5 năm tù vì âm mưu thực hiện hành vi xâm nhập máy tính.
Nguồn: www.theverge.com