O banco de dados do governo dos EUA forneceu acesso a um tesouro de dados confidenciais. “Posso solicitar informações sobre qualquer pessoa nos Estados Unidos”, escreveu um dos supostos hackers.
Supostamente iniciaram uma ampla onda de hackers que incluiu invadir um banco de dados de autoridades federais dos EUA; usar o e-mail comprometido de um policial de Bangladesh para solicitar de forma fraudulenta dados de usuários de uma empresa de mídia social; e até mesmo tentar comprar serviços de uma empresa de reconhecimento facial que não vende produtos para o público em geral.
A notícia destaca o interesse contínuo dos hackers em acessar novas fontes de informações pessoais e o risco extremo do que pode acontecer quando os hackers comprometem esses bancos de dados ou contas.
“Posso solicitar informações sobre qualquer pessoa nos Estados Unidos, não importa quem, ninguém está seguro”, escreveu um dos hackers a um contato.
Sagar Steven Singh, 19, foi preso em Rhode Island na terça-feira; Nicholas Ceraolo, 25, continua foragido com sua localização listada como Queens, Nova York, diz um comunicado de imprensa do Gabinete do Procurador dos Estados Unidos para o Distrito Leste de Nova York. “Singh e Ceraolo usaram ilegalmente a senha roubada de um policial para acessar um banco de dados restrito mantido por uma agência federal de aplicação da lei que contém (entre outros dados) registros detalhados e não públicos de narcóticos e apreensões de dinheiro, bem como relatórios de inteligência da aplicação da lei”, diz. estados.
Ceraolo forneceu anteriormente à Motherboard detalhes sobre a comunidade clandestina de troca de SIM, onde hackers sequestram números de telefone para roubar criptomoedas das vítimas ou seus valiosos identificadores de mídia social. Um artigo de 2020 enfocou como os trocadores de SIM fizeram phishing de funcionários de empresas de telecomunicações para acessar ferramentas internas; outro mostrou que os trocadores de SIM passaram de subornar funcionários para usar software de desktop remoto para obter acesso direto às ferramentas T-Mobile, AT&T e Sprint.
Ceraolo também era membro de um grupo de hackers chamado “ViLE”, de acordo com o comunicado de imprensa dos promotores. Em uma captura de tela incluída no lançamento, o site do ViLE incluía uma ilustração de uma garota enforcada. No momento da redação deste artigo, o site é protegido por uma tela de login no estilo de um antigo computador com Windows. Os membros do ViLE buscaram informações pessoais das pessoas, como endereços físicos, números de telefone e números de previdência social, e depois enviaram doxes a essas pessoas, acrescenta o comunicado. As vítimas poderiam então pagar para que suas informações fossem removidas do site do ViLE, diz o comunicado.
Essa busca por informações pessoais é o que supostamente levou Singh e Ceraolo a invadir várias contas de policiais. Em um caso, a dupla supostamente usou as credenciais de um policial para acessar um portal da web mantido por uma agência federal de aplicação da lei dos Estados Unidos.
A certa altura, Singh escreveu para um contato “aquele portal tinha algumas ferramentas potentes”, de acordo com o comunicado à imprensa. Cinco ferramentas de busca estavam acessíveis através do portal, diz o comunicado.
Quase imediatamente, Singh usou esse novo acesso para obter informações e depois extorquir pessoas específicas, alegam os federais. “Você vai me obedecer se não quiser que nada de negativo aconteça com seus pais”, ele supostamente escreveu a uma vítima. A vítima então vendeu suas contas no Instagram e deu o dinheiro para Singh, de acordo com o comunicado.
Além do acesso ao banco de dados de aplicação da lei federal dos EUA, Ceraolo supostamente acessou o endereço de e-mail oficial de um policial de Bangladesh entre fevereiro de 2022 e maio de 2022. Com essa conta de e-mail, ele supostamente se fez passar por policial e solicitou informações sobre uma pessoa específica de um plataforma de mídia social sem nome. Posar-se como oficial e solicitar dados de redes sociais tornou- se um serviço poderoso na comunidade de hackers clandestinos, com golpistas às vezes criando demandas legais falsas. Em outro caso de uma plataforma de jogos online, as tentativas de fraude de Ceraolo falharam, de acordo com o comunicado.
Ceraolo também supostamente usou a conta de e-mail comprometida de Bangladesh “para tentar comprar uma licença de uma empresa de reconhecimento facial cujos serviços não estão disponíveis ao público em geral”. Clearview AI, uma ferramenta que é popular entre as autoridades para serviços de reconhecimento facial, não respondeu imediatamente ao pedido de comentário da Motherboard.
Fonte: VICE
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
