Twee mannen zijn aangeklaagd voor hun vermeende rol bij de hack vorig jaar van het webportaal van de Drug Enforcement Agency, zoals eerder gemeld door Gizmodo. In een eerder deze week gepost persbericht zegt het ministerie van Justitie dat Sagar Steven Singh en Nicholas Ceraolo de inloggegevens van een politieagent hebben gestolen om toegang te krijgen tot een database van de federale wetshandhaving die ze gebruikten om slachtoffers af te persen.
Aanklagers eisen de 19-jarige Singh en de 25-jarige Ceraolo op zijn lid van een hackgroep genaamd Vile, die vaak persoonlijke informatie van slachtoffers steelt en hen vervolgens online dreigt te doxeren als ze geen betaling ontvangen. Hoewel de DOJ niet expliciet zegt welk bureau Singh en Ceraolo naar verluidt hebben gehackt, stelt het dat het portaal „gedetailleerde, niet-openbare registers van verdovende middelen en inbeslagnames van valuta’s bevat, evenals rapporten van wetshandhavingsinlichtingen.“ Dit volgt met een rapport van Krebs over beveiliging dat geeft aan de hack is gerelateerd aan de DEA.
Volgens de klacht gebruikte Singh de informatie van het federale portaal om zijn slachtoffers te bedreigen, en in één geval schreef hij aan een persoon dat hij hun familie zou schaden, tenzij ze hem de inloggegevens voor hun Instagram-accounts zouden geven. Vervolgens voegde hij het burgerservicenummer, het rijbewijsnummer, het huisadres en andere persoonlijke informatie die hij uit de database van de overheid had verzameld, aan zijn bedreiging toe.
Valse verzoeken om noodgegevens komen steeds vaker voor.
„Via (het) portaal kan ik informatie opvragen over iedereen in de VS, het maakt niet uit wie, niemand is veilig“, schreef Singh aan het slachtoffer. „Je gaat me gehoorzamen als je niet wilt dat er iets negatiefs met je ouders gebeurt.“
Ondertussen gebruikte Ceraolo het portaal om de e-mailreferenties van een Bengaalse politieagent te verkrijgen. Ceraolo deed zich naar verluidt voor als de officier tijdens zijn correspondentie met een naamloos social media-platform en overtuigde de site om het huisadres, e-mailadres en telefoonnummer van een specifieke gebruiker te verstrekken onder het mom dat het slachtoffer „deelnam aan ‚afpersing van kinderen‘. chantage en bedreigde de regering van Bangladesh.” Ceraolo zou naar verluidt op dezelfde manier hebben geprobeerd een populair spelplatform en gezichtsherkenningsbedrijf op te lichten, maar beiden weigerden de verzoeken.
De zwendel van Ceraolo komt steeds vaker voor. Vorig jaar een verslag van Bloomberg onthulde dat Apple, Meta en Discord het slachtoffer werden van soortgelijke trucs waarbij hackers zich voordeden als politieagenten die op zoek waren naar noodgegevens. Hoewel wetshandhavers sociale-mediasites soms om gegevens over een bepaalde gebruiker vragen als deze betrokken zijn bij een misdrijf, is hiervoor een dagvaarding of huiszoekingsbevel nodig dat is ondertekend door een rechter. Noodgegevensverzoeken hebben dit soort goedkeuring echter niet nodig, iets waar hackers misbruik van maken.
Zoals aangegeven door Krebs over beveiliging, Ceraolo is eigenlijk beschreven als een beveiligingsonderzoeker in talloze rapporten die hem crediteren voor het blootleggen van beveiligingsproblemen met betrekking tot T-Mobile, AT&T en Cox Communications. Wetshandhavers deden in mei 2022 een inval in het huis van Ceraolo voordat ze in september de woning van Singh doorzochten.
Terwijl Singh dinsdag werd gearresteerd in Pawtucket, Rhode Island, gaf Ceraolo zichzelf aan kort nadat de DOJ zijn aanklacht had aangekondigd. Volgens de DOJ riskeert Ceraolo tot 20 jaar achter de tralies wegens samenzwering om telefraude te plegen, en zowel Ceraolo als Singh kunnen vijf jaar gevangenisstraf krijgen wegens samenzwering om computerinbraken te plegen.
