Dois homens foram acusados de seus supostos papéis na invasão do portal da Agência de Repressão às Drogas no ano passado, conforme relatado anteriormente por Gizmodo. Em um comunicado à imprensa publicado no início desta semana, o Departamento de Justiça diz que Sagar Steven Singh e Nicholas Ceraolo roubaram as credenciais de um policial para acessar um banco de dados da polícia federal que eles usaram para extorquir as vítimas.
Os promotores reivindicam Singh, de 19 anos, e Ceraolo, de 25 anos. são membros de um grupo de hackers chamado Vile, que geralmente rouba informações pessoais das vítimas e ameaça doxá-las online se elas não receberem um pagamento. Embora o DOJ não diga explicitamente qual agência Singh e Ceraolo supostamente invadiram, ele afirma que o portal contém “registros detalhados e não públicos de narcóticos e apreensões de moeda, bem como relatórios de inteligência da polícia”. Isso rastreia com um relatório de Krebs em Segurança isso indica o hack está relacionado ao DEA.
De acordo com a denúncia, Singh usou as informações do portal federal para ameaçar suas vítimas e, em um caso, escreveu a uma pessoa que prejudicaria sua família, a menos que lhe fornecessem as credenciais de suas contas no Instagram. Ele então anexou o número do seguro social da vítima, número da carteira de motorista, endereço residencial e outras informações pessoais coletadas do banco de dados do governo à sua ameaça.
Solicitações de dados de emergência falsas estão se tornando cada vez mais comuns.
“Através [the] portal, posso solicitar informações sobre qualquer pessoa nos EUA, não importa quem, ninguém está seguro”, Singh teria escrito à vítima. “Você vai me obedecer se não quiser que nada de negativo aconteça com seus pais.”
Enquanto isso, Ceraolo usou o portal para obter as credenciais de e-mail pertencentes a um policial de Bangladesh. Ceraolo supostamente se fez passar pelo policial durante sua correspondência com uma plataforma de mídia social não identificada e convenceu o site a fornecer o endereço residencial, endereço de e-mail e número de telefone de um usuário específico sob o pretexto de que a vítima “participou de ‘extorsão infantil’ chantagem e ameaçou o governo de Bangladesh”. Ceraolo supostamente tentou enganar uma plataforma de jogos popular e uma empresa de reconhecimento facial da mesma maneira, mas ambos recusaram os pedidos.
O golpe realizado por Ceraolo está se tornando cada vez mais comum. No ano passado, um relatório da Bloomberg revelou que Apple, Meta e Discord foram vítimas de manobras semelhantes que envolviam hackers se passando por policiais em busca de solicitações de dados de emergência. Embora a aplicação da lei às vezes peça aos sites de mídia social dados sobre um determinado usuário se ele estiver envolvido em um crime, isso requer uma intimação ou mandado de busca assinado por um juiz. No entanto, solicitações de dados de emergência não precisam desse tipo de aprovação, algo que os hackers estão aproveitando.
Como apontado por Krebs em Segurança, Ceraolo foi realmente descrito como um pesquisador de segurança em vários relatórios que o creditam por descobrir vulnerabilidades de segurança relacionadas à T-Mobile, AT&T e Cox Communications. A polícia invadiu a casa de Ceraolo em maio de 2022 antes de revistar a residência de Singh em setembro.
Enquanto Singh foi preso em Pawtucket, Rhode Island na terça-feira, Ceraolo se entregou logo após o DOJ anunciar suas acusações. De acordo com o DOJ, Ceraolo pode pegar até 20 anos atrás das grades por conspiração para cometer fraude eletrônica, e tanto Ceraolo quanto Singh podem pegar cinco anos de prisão por conspiração para cometer invasões de computador.
0 comentários:
Postar um comentário