Właśnie się dowiedzieliśmy, że haker, który włamał się do systemu elektronicznego Sądu Najwyższego Stanów Zjednoczonych, nie poprzestał tylko na jednej instytucji. Ta sprawa nabiera rumieńców, gdy wychodzą na jaw nowe, szokujące szczegóły dotyczące skali jego cyfrowego wandalizmu oraz tego, co zrobił z ukradzionymi danymi. To klasyczny przykład, jak łatwo – i jak bardzo destrukcyjnie – można wykorzystać skradzione dane uwierzytelniające.
Czyżby to był amerykański „Robinhoood” cyfrowego podziemia? Włamania na niespodziewaną skalę
Wszystko zaczęło się od przyznania się do winy przez 24-letniego Nicholasa Moore’a ze Springfield w stanie Tennessee, który wielokrotnie włamywał się do systemu elektronicznego składania dokumentów amerykańskiego Sądu Najwyższego (SCOTUS). Początkowo szczegóły były mgliste, lecz ostatnio ujawnione dokumenty sądowe malują obraz znacznie szerszy niż początkowo sądzono. Okazuje się, że Moore, działając pod pseudonimem w mediach społecznościowych, nie ograniczył się do najbardziej prestiżowego organu sądownictwa.
Moore, przyjmując na siebie odpowiedzialność za te akty, włamał się również do sieci AmeriCorps – agencji rządowej odpowiedzialnej za programy wolontariatu studenckiego – oraz do systemów Departamentu Spraw Weteranów (Department of Veterans Affairs, VA), kluczowej placówki zajmującej się opieką zdrowotną i świadczeniami dla weteranów wojskowych. To już nie są pojedyncze incydenty; to zorganizowane, choć realizowane przez jedną osobę, naruszenie bezpieczeństwa federalnych baz danych.
Jak to zrobił? Kradzież kluczy, a nie łamanie zamków
Z technicznego punktu widzenia, Moore nie musiał być geniuszem łamiącym szyfry na poziomie wojskowym. Według dokumentacji sądowej, uzyskał dostęp do tych zabezpieczonych systemów, wykorzystując „skradzione dane uwierzytelniające użytkowników, którzy mieli autoryzowany dostęp”. Mówiąc prościej, hakerzy często nie muszą przełamywać skomplikowanych protokołów bezpieczeństwa; wystarczy im zdobyć klucze, które ktoś z wewnątrz, być może nieświadomie, im udostępnił.
Kiedy Moore wszedł do systemów – czy to do SCOTUS, czy VA – nie szukał tylko informacji, chciał je upublicznić. To, co nastąpiło potem, jest uderzające w kontekście prywatności obywateli USA.
Instagram jako tablica ogłoszeń dla skradzionych danych: Ujawnienie wrażliwych informacji
Najbardziej kontrowersyjnym aspektem tej sprawy jest sposób, w jaki Moore postanowił pochwalić się swoimi „zdobyczami”. Swoje ofiary ujawnił na swoim koncie na Instagramie, które nosiło niepokojącą nazwę: @ihackthegovernment.
W przypadku ofiary z Sądu Najwyższego, określonej w dokumentach jako „GS”, haker opublikował:
„imię i nazwisko oraz bieżące i przeszłe elektroniczne akta składane”.
W przypadku pracownika AmeriCorps, oznaczonego jako „SM”, lista ujawnionych danych jest zatrważająco długa i osobista:
„imię, datę urodzenia, adres e-mail, adres zamieszkania, numer telefonu, status obywatelstwa, status weterana, historię służby oraz cztery ostatnie cyfry numeru ubezpieczenia społecznego [social security number]”.
Ale prawdziwy cios spadł na pacjentów Departamentu Spraw Weteranów. W przypadku ofiary „HW”, Moore z premedytacją udostępnił wrażliwe informacje medyczne. Jak stwierdzono w postępowaniu, Moore pochwalił się informacjami o stanie zdrowia:
„kiedy wysłał znajomemu zrzut ekranu z konta MyHealtheVet należącego do HW, który identyfikował HW i pokazywał leki, które zostały mu przepisane”.
To, że poufne dane medyczne weteranów trafiły na celownik i zostały udostępnione, podnosi kwestie etyczne i prawne na zupełnie nowy poziom. Włamanie do systemu prawnego jest groźne, ale ujawnienie historii leczenia może mieć katastrofalne skutki dla życia jednostki.
Nicholas Moore, choć przyznał się do winy, stoi teraz w obliczu konsekwencji prawnych, które, choć wydają się relatywnie łagodne w porównaniu do skali szkód, odzwierciedlają status popełnionych przestępstw: grozi mu maksymalnie rok pozbawienia wolności i grzywna do 100 000 dolarów. Pozostaje pytanie, czy kara ta będzie adekwatna do naruszenia zaufania publicznego i prywatności setek obywateli.
