Dos hombres han sido acusados por su presunta participación en el truco del año pasado del portal web de la Agencia de Control de Drogas, como informado anteriormente por gizmodo. En un comunicado de prensa publicado a principios de esta semana, el Departamento de Justicia dice que Sagar Steven Singh y Nicholas Ceraolo robaron las credenciales de un oficial de policía para acceder a una base de datos federal de las fuerzas del orden que utilizaron para extorsionar a las víctimas.
Los fiscales reclaman a Singh, de 19 años, y a Ceraolo, de 25. son miembros de un grupo de piratería llamado Vile, que a menudo roba información personal de las víctimas y luego amenaza con engañarlas en línea si no reciben un pago. Si bien el Departamento de Justicia no dice explícitamente a qué agencia Singh y Ceraolo supuestamente piratearon, afirma que el portal contiene «registros detallados y no públicos de narcóticos e incautaciones de dinero, así como informes de inteligencia de las fuerzas del orden». Esta pista con un informe de Krebs sobre la seguridad eso indica el hack está relacionado con la DEA.
Según la denuncia, Singh usó la información del portal federal para amenazar a sus víctimas y, en un caso, le escribió a una persona que dañaría a su familia a menos que le dieran las credenciales de sus cuentas de Instagram. Luego adjuntó a su amenaza el número de seguro social de la víctima, el número de licencia de conducir, la dirección de su casa y otra información personal que recopiló de la base de datos del gobierno.
Las solicitudes falsas de datos de emergencia son cada vez más comunes.
«A través de [the] portal, puedo solicitar información sobre cualquier persona en los EE. UU. sin importar quién, nadie está a salvo”, supuestamente escribió Singh a la víctima. “Me cumplirás si no quieres que les pase nada negativo a tus padres”.
Mientras tanto, Ceraolo usó el portal para obtener las credenciales de correo electrónico pertenecientes a un oficial de policía de Bangladesh. Ceraolo supuestamente se hizo pasar por el oficial durante su correspondencia con una plataforma de redes sociales no identificada y convenció al sitio para que proporcionara la dirección de la casa, la dirección de correo electrónico y el número de teléfono de un usuario específico con el pretexto de que la víctima «participó en ‘extorsión infantil'». chantajear y amenazar al gobierno de Bangladesh”. Ceraolo supuestamente intentó estafar a una popular plataforma de juegos y una compañía de reconocimiento facial de la misma manera, pero ambos rechazaron las solicitudes.
La estafa protagonizada por Ceraolo es cada vez más común. El año pasado, un informe de Bloomberg reveló que Apple, Meta y Discord fueron víctimas de tácticas similares que involucraron a piratas informáticos que se hacían pasar por policías que buscaban solicitudes de datos de emergencia. Si bien las fuerzas del orden a veces solicitan a los sitios de redes sociales datos sobre un usuario en particular si están involucrados en un delito, esto requiere una citación u orden de allanamiento firmada por un juez. Sin embargo, solicitudes de datos de emergencia no necesita este tipo de aprobación, que es algo de lo que se están aprovechando los piratas informáticos.
Como ha sido señalado por Krebs sobre la seguridadCeraolo en realidad ha sido descrito como un investigador de seguridad en numerosos informes que le atribuyen el descubrimiento de vulnerabilidades de seguridad relacionadas con T-Mobile, AT&Ty Comunicaciones de Cox. La policía allanó la casa de Ceraolo en mayo de 2022 antes de registrar la residencia de Singh en septiembre.
Mientras Singh fue arrestado en Pawtucket, Rhode Island el martes, Ceraolo se entregó poco después de que el DOJ anunciara sus cargos. Según el DOJ, Ceraolo enfrenta hasta 20 años tras las rejas por conspiración para cometer fraude electrónico, y tanto Ceraolo como Singh podrían enfrentar cinco años de prisión por conspiración para cometer intrusiones informáticas.
