Dos hombres han sido acusados por su presunto papel en el hackeo del año pasado del portal web de la Agencia de Control de Drogas, como se informó anteriormente. gizmodo. En un comunicado de prensa emitido a principios de esta semana, el Departamento de Justicia dijo que Sagar Steven Singh y Nicholas Ceraolo robaron las credenciales de un oficial de policía para acceder a una base de datos federal de aplicación de la ley, que utilizaron para extorsionar a las víctimas.
Los fiscales reclaman a Singh, 19, y Ceraolo, 25 son miembros de un grupo de piratas informáticos llamado Vile, que a menudo roba información personal de las víctimas y luego amenaza con engañarlas en línea si no reciben el pago. Si bien el Departamento de Justicia no dice explícitamente qué agencia Singh y Ceraolo supuestamente piratearon, dice que el portal contiene «registros detallados y no públicos de incautaciones de narcóticos y moneda, así como informes de inteligencia de las fuerzas del orden». Esto sigue con un informe de Krebs sobre la seguridad lo cual indica el hack está vinculado a la DEA.
Según la denuncia, Singh usó información del portal federal para amenazar a sus víctimas y, en una ocasión, le escribió a una persona que le haría daño a su familia a menos que le diera credenciales de sus cuentas de Instagram. Luego adjuntó a su amenaza el número de seguro social de la víctima, el número de licencia de conducir, la dirección de su casa y otra información personal que recopiló de la base de datos del gobierno.
Las solicitudes falsas de datos de emergencia son cada vez más comunes.
«A través [the] portal, puedo solicitar información sobre cualquier persona en los Estados Unidos, sin importar quién, nadie está a salvo”, supuestamente escribió Singh a la víctima. «Me vas a respetar si no quieres que les pase algo malo a tus padres».
Mientras tanto, Ceraolo usó el portal para obtener identificaciones de correo electrónico pertenecientes a un oficial de policía de Bangladesh. Ceraolo supuestamente se hizo pasar por el oficial cuando mantuvo correspondencia con una plataforma de redes sociales anónima y convenció al sitio para que proporcionara la dirección de la casa, la dirección de correo electrónico y el número de teléfono de un usuario específico, con el pretexto de que la víctima «había participado en ‘extorsión infantil’, chantaje y amenazó al gobierno de Bangladesh. Supuestamente, Ceraolo intentó estafar a una popular plataforma de juegos de azar y a una empresa de reconocimiento facial de la misma manera, pero ambos rechazaron las solicitudes.
La estafa protagonizada por Ceraolo es cada vez más común. El año pasado, un informe de Bloomberg reveló que Apple, Meta y Discord habían sido víctimas de esquemas similares que involucraban a piratas informáticos que se hacían pasar por policías en busca de solicitudes de datos de emergencia. Si bien las fuerzas del orden a veces solicitan a los sitios de redes sociales datos sobre un usuario en particular si están involucrados en un delito, esto requiere una citación u orden de allanamiento firmada por un juez. Sin embargo, las solicitudes de datos de emergencia no necesitan este tipo de aprobación, de la que se aprovechan los piratas informáticos.
Como se ha señalado Krebs sobre la seguridad, Ceraolo en realidad ha sido descrito como un investigador de seguridad en numerosos informes que le atribuyen el descubrimiento de vulnerabilidades de seguridad relacionadas con T-Mobile, AT&T y Cox Communications. La policía allanó la casa de Ceraolo en mayo de 2022 antes de allanar la residencia de Singh en septiembre.
Si bien Singh fue arrestado el martes en Pawtucket, Rhode Island, Ceraolo se entregó poco después de que el DOJ anunciara sus cargos. Según el DOJ, Ceraolo enfrenta hasta 20 años tras las rejas por conspiración para cometer fraude electrónico, y Ceraolo y Singh podrían enfrentar hasta cinco años de prisión por conspiración para cometer intrusiones informáticas.
