Ένας hacker από το Michigan, με το όνομα Justin Sean Johnson, συνελήφθη πριν λίγες μέρες για το hack στο University of Pittsburgh Medical Center (UPMC), που έλαβε χώρα το 2014. Ο hacker έκλεψε προσωπικές πληροφορίες 65.000 υπαλλήλων και τις πούλησε στο dark web. Αν και υπάρχουν πολλές ενδείξεις, δεν έχει ακόμα αποδειχτεί η ενοχή του.
Το UPMC με έδρα το Pittsburgh είναι ο μεγαλύτερος πάροχος υγειονομικής περίθαλψης στην Pennsylvania με περισσότερους από 90.000 υπαλλήλους, 40 νοσοκομεία και 700 εξωτερικά γραφεία ιατρών.
Ο hacker είναι γνωστός και ως “TDS” και “DS” και δέχτηκε 43 κατηγορίες για συνωμοσία, διάφορες απάτες και κλοπή στοιχείων ταυτότητας.
“Ο Justin Johnson κατηγορείται για την κλοπή των ονομάτων, των αριθμών κοινωνικής ασφάλισης, των διευθύνσεων και των στοιχείων μισθοδοσίας των υπαλλήλων του μεγαλύτερου συστήματος υγειονομικής περίθαλψης της Pennsylvania”, ειπώθηκε σε δελτίο τύπου.
“Μετά την παραβίαση, ο Johnson πούλησε τα στοιχεία των υπαλλήλων του UPMC σε αγοραστές σε όλο τον κόσμο, μέσω dark web αγορών, οι οποίοι με τη σειρά τους χρησιμοποίησαν τα στοιχεία σε περαιτέρω απάτες και κλοπές”.
Ο hacker έκλεψε τα στοιχεία δεκάδων χιλιάδων υπαλλήλων μέσα σε ένα μήνα
Σύμφωνα με το κατηγορητήριο, ο Johnson απέκτησε πρόσβαση στο HR database δίκτυο του UPMC περίπου την 1η Δεκεμβρίου 2013, χακάροντας το σύστημα διαχείρισης ανθρώπινου δυναμικού Oracle PeopleSoft.
Την ίδια μέρα, διενήργησε ένα test query στη βάση δεδομένων HR, που είχε ως αποτέλεσμα την πρόσβαση στις προσωπικές πληροφορίες περίπου 23.500 υπαλλήλων του UPMC.
Λέγεται ότι μεταξύ 21 Ιανουαρίου και 14 Φεβρουαρίου 2014, ο hacker έμπαινε πολλές φορές στη βάση δεδομένων για να κλέψει τα στοιχεία περισσότερων υπαλλήλων.
Ο hacker πούλησε τα κλεμμένα δεδομένα σε αγορές darknet όπως η AlphaBay Market και η Evolution.
“Επιπλέον, το κατηγορητήριο ισχυρίζεται ότι ο Johnson, από το 2014 έως το 2017, ως TDS ή DS, πούλησε και άλλα στοιχεία σε αγοραστές σε dark forums, τα οποία θα μπορούσαν να χρησιμοποιηθούν για τη διάπραξη κλοπής ταυτότητας και για τραπεζικές απάτες”, αναφέρει ένα δελτίο τύπου του Υπουργείου Δικαιοσύνης.
Αν κριθεί ένοχος, θα μείνει για πολλά χρόνια στη φυλακή
Σε περίπτωση που ο Johnson κριθεί ένοχος, οι ποινές που προβλέπονται είναι: πέντε έτη στη φυλακή και πρόστιμο έως 250.000 $ για συνωμοσία, 20 χρόνια στη φυλακή και πρόστιμο έως και 250.000 $ για τις υπόλοιπες απάτες, και υποχρεωτικά 2 χρόνια φυλάκισης και πρόστιμο έως και 250.000 $ για την κλοπή ταυτότητας.
Σύμφωνα με το δελτίο τύπου του DoJ, ο κατηγορούμενος θεωρείται αθώος έως ότου αποδειχθεί ένοχος.