Deux hommes ont été inculpés pour leurs rôles présumés dans le hack de l’année dernière du portail Web de la Drug Enforcement Agency, comme rapporté plus tôt par Gizmodo. Dans un communiqué de presse publié plus tôt cette semaine, le ministère de la Justice a déclaré que Sagar Steven Singh et Nicholas Ceraolo avaient volé les informations d’identification d’un policier pour accéder à une base de données des forces de l’ordre fédérales qu’ils utilisaient pour extorquer des victimes.
Les procureurs revendiquent Singh, 19 ans, et Ceraolo, 25 ans sont membres d’un groupe de piratage appelé Vile, qui vole souvent des informations personnelles aux victimes et les menace ensuite de les doxer en ligne si elles ne reçoivent pas de paiement. Bien que le DOJ ne dise pas explicitement quelle agence Singh et Ceraolo auraient piratée, il déclare que le portail contient « des dossiers détaillés et non publics de saisies de stupéfiants et de devises, ainsi que des rapports de renseignement des forces de l’ordre ». Cela suit avec un rapport de Krebs sur la sécurité qui indique le hack est lié à la DEA.
Selon la plainte, Singh a utilisé les informations du portail fédéral pour menacer ses victimes et, dans un cas, a écrit à une personne qu’il nuirait à sa famille à moins qu’elle ne lui donne les informations d’identification de ses comptes Instagram. Il a ensuite joint à sa menace le numéro de sécurité sociale de la victime, son numéro de permis de conduire, son adresse personnelle et d’autres informations personnelles qu’il a recueillies dans la base de données du gouvernement.
Les fausses demandes de données d’urgence sont de plus en plus courantes.
« À travers [the] portail, je peux demander des informations sur n’importe qui aux États-Unis, peu importe qui, personne n’est en sécurité », aurait écrit Singh à la victime. « Tu vas me respecter si tu ne veux pas que quelque chose de négatif arrive à tes parents. »
Pendant ce temps, Ceraolo a utilisé le portail pour obtenir les identifiants de messagerie appartenant à un policier bangladais. Ceraolo se serait fait passer pour l’officier lors de sa correspondance avec une plate-forme de médias sociaux anonyme et aurait convaincu le site de fournir l’adresse personnelle, l’adresse e-mail et le numéro de téléphone d’un utilisateur spécifique sous prétexte que la victime « avait participé à » l’extorsion d’enfants « . chantage et menacé le gouvernement bangladais. Ceraolo aurait tenté d’arnaquer une plate-forme de jeu populaire et une société de reconnaissance faciale de la même manière, mais les deux ont refusé les demandes.
L’escroquerie réalisée par Ceraolo devient de plus en plus courante. L’année dernière, un rapport de Bloomberg a révélé qu’Apple, Meta et Discord avaient été victimes de stratagèmes similaires impliquant des pirates se faisant passer pour des policiers à la recherche de demandes de données d’urgence. Alors que les forces de l’ordre demandent parfois aux sites de médias sociaux des données sur un utilisateur particulier s’il est impliqué dans un crime, cela nécessite une citation à comparaître ou un mandat de perquisition signé par un juge. Cependant, demandes de données d’urgence n’ont pas besoin de ce type d’approbation, dont les pirates profitent.
Comme le souligne Krebs sur la sécuritéCeraolo a en fait été décrit comme un chercheur en sécurité dans de nombreux rapports qui lui attribuent la découverte de vulnérabilités de sécurité liées à T-Mobile, AT&Tet Cox Communications. Les forces de l’ordre ont fait une descente au domicile de Ceraolo en mai 2022 avant de perquisitionner la résidence de Singh en septembre.
Alors que Singh a été arrêté mardi à Pawtucket, Rhode Island, Ceraolo s’est rendu peu de temps après que le DOJ a annoncé ses accusations. Selon le DOJ, Ceraolo risque jusqu’à 20 ans derrière les barreaux pour complot en vue de commettre une fraude électronique, et Ceraolo et Singh pourraient encourir cinq ans de prison pour complot en vue de commettre des intrusions informatiques.