دو هکر به نقض پورتال DEA در سال گذشته متهم شدند

همانطور که قبلاً گزارش شده بود، دو مرد به اتهام نقش داشتن در هک پورتال وب سازمان مبارزه با مواد مخدر در سال گذشته متهم شدند. Gizmodo. در یک بیانیه مطبوعاتی که اوایل این هفته منتشر شد، وزارت دادگستری می گوید که ساگار استیون سینگ و نیکلاس سرائولو اعتبار یک افسر پلیس را برای دسترسی به پایگاه داده مجری قانون فدرال که برای اخاذی از قربانیان استفاده می کردند، سرقت کردند.

دادستان ها سینگ 19 ساله و سرائولوی 25 ساله را ادعا می کنند اعضای یک گروه هکری به نام Vile هستند که اغلب اطلاعات شخصی قربانیان را می‌دزدند و سپس تهدید می‌کنند که در صورت عدم دریافت مبلغی، آنها را به صورت آنلاین داکس می‌کنند. در حالی که وزارت دادگستری به صراحت نمی گوید که سینگ و سرائولو به کدام آژانس ادعا شده هک کرده اند، اما بیان می کند که این پورتال حاوی “سوابق جزئی و غیرعلمی از کشفیات مواد مخدر و ارز و همچنین گزارش های اطلاعاتی مجری قانون است.” این آهنگ با گزارشی از کربس در مورد امنیت که نشان می دهد هک مربوط به DEA است.

طبق این شکایت، سینگ از اطلاعات پورتال فدرال برای تهدید قربانیان خود استفاده کرد و در یک نمونه به یک نفر نوشت که به خانواده آنها آسیب می رساند مگر اینکه آنها اعتبارنامه را در حساب های اینستاگرام خود به او بدهند. او سپس شماره تامین اجتماعی، شماره گواهینامه رانندگی، آدرس منزل و سایر اطلاعات شخصی قربانی را که از بانک اطلاعاتی دولت جمع آوری کرده بود به تهدید خود پیوست کرد.

“از طریق [the] سینگ به قربانی نوشت. “اگر نمی خواهی اتفاق منفی برای والدینت بیفتد، از من تبعیت می کنی.”

در همین حال، سرائولو از این پورتال برای به دست آوردن اعتبار ایمیل متعلق به یک افسر پلیس بنگلادشی استفاده کرد. سرائولو ظاهراً در طول مکاتبات خود با یک پلتفرم رسانه اجتماعی ناشناس به عنوان افسر ظاهر شد و سایت را متقاعد کرد که آدرس منزل، آدرس ایمیل و شماره تلفن یک کاربر خاص را تحت این پوشش که قربانی «در «اخاذی از کودک شرکت کرده است» ارائه کند. باج گیری و دولت بنگلادش را تهدید کرد.» گفته می‌شود که سرائولا تلاش کرده است به همان روش از یک پلتفرم بازی محبوب و شرکت تشخیص چهره کلاهبرداری کند، اما هر دو این درخواست‌ها را رد کردند.

کلاهبرداری انجام شده توسط Ceraolo به طور فزاینده ای رایج می شود. سال گذشته گزارشی از بلومبرگ فاش کرد که اپل، متا و دیسکورد قربانی ترفندهای مشابهی شدند که شامل هکرهایی بود که به عنوان افسران پلیس به دنبال درخواست داده های اضطراری بودند. در حالی که مجری قانون گاهی اوقات از سایت های رسانه های اجتماعی می خواهد که اطلاعات مربوط به یک کاربر خاص را در صورت دست داشتن در جرمی دریافت کنند، این امر مستلزم احضاریه یا حکم بازرسی است که توسط قاضی امضا شده باشد. با این حال، درخواست‌های داده اضطراری نیازی به این نوع تأیید ندارند، چیزی که هکرها از آن سوء استفاده می‌کنند.

همانطور که توسط کربس در مورد امنیتسرائولو در واقع در گزارش‌های متعددی به عنوان یک محقق امنیتی توصیف شده است که به او کمک می‌کند آسیب‌پذیری‌های امنیتی مربوط به T-Mobile، AT&T و Cox Communications را کشف کند. مجریان قانون در ماه مه 2022 به خانه سرائولو یورش بردند و سپس در سپتامبر به جستجوی اقامتگاه سینگ پرداختند.

در حالی که سینگ روز سه شنبه در Pawtucket، رود آیلند دستگیر شد، Ceraolo خود را اندکی پس از اعلام اتهامات توسط DOJ تسلیم کرد. به گفته وزارت دادگستری، سرائولو به دلیل توطئه برای ارتکاب کلاهبرداری با سیم تا 20 سال در پشت میله های زندان قرار دارد و سرائولو و سینگ هر دو ممکن است به جرم توطئه برای ارتکاب نفوذ رایانه ای با پنج سال زندان محکوم شوند.