Δίκη για απάτη και κλοπή ταυτότητας δοκιμάζει τον αμερικανικό νόμο κατά του hacking! Σχεδόν τρία χρόνια μετά την αποκάλυψη μιας από τις μεγαλύτερες παραβιάσεις δεδομένων στις Ηνωμένες Πολιτείες, η πρώην υπάλληλος της Amazon που κατηγορείται για κλοπή προσωπικών πληροφοριών πελατών από την Capital One δικάζεται σε μια υπόθεση που θα δοκιμάσει τη δύναμη του αμερικανικού νόμου κατά του hacking.
Η Paige Thompson εργάστηκε ως μηχανικός λογισμικού στο Seattle και διηύθυνε μια διαδικτυακή κοινότητα για άλλους προγραμματιστές. Το 2019, κατέβασε προσωπικές πληροφορίες που ανήκαν σε περισσότερους από 100 εκατομμύρια πελάτες της Capital One, δήλωσε το υπουργείο Δικαιοσύνης.
Τα δεδομένα προήλθαν από αιτήσεις για πιστωτικές κάρτες και περιελάμβαναν 140.000 αριθμούς κοινωνικής ασφάλισης και 80.000 αριθμούς τραπεζικών λογαριασμών. Αντιμετωπίζει 10 κατηγορίες για απάτη υπολογιστών, wire fraud και κλοπή ταυτότητας σε μια ομοσπονδιακή δίκη που ξεκίνησε την Τρίτη στο Seattle.
Δείτε επίσης: Νέο SVCReady malware: Φορτώνει από τις ιδιότητες του Word doc
Οι μέθοδοι που χρησιμοποίησε η κυρία Thompson για να ανακαλύψει τις πληροφορίες και τι σχεδίαζε να κάνει με αυτές, θα εξεταστούν προσεκτικά στην υπόθεση. Η κυρία Thompson, 36 ετών, κατηγορείται για παραβίαση ενός νόμου κατά του hacking, γνωστό ως Computer Fraud and Abuse Act, ο οποίος απαγορεύει την πρόσβαση σε υπολογιστή χωρίς εξουσιοδότηση. Η κυρία Thompson έχει δηλώσει αθώα και οι δικηγόροι της λένε ότι οι ενέργειές της – σάρωση για ευπάθειες στο διαδίκτυο και διερεύνηση όσων αποκάλυψαν – ήταν αυτές ενός «πρωτάρη white-hat hacker».
Οι επικριτές του νόμου περί απάτης ηλεκτρονικών υπολογιστών υποστήριξαν ότι είναι πολύ ευρύς και επιτρέπει διώξεις κατά ατόμων που ανακαλύπτουν ευπάθειες σε διαδικτυακά συστήματα ή παραβιάζουν ψηφιακές συμφωνίες με ευνοϊκούς τρόπους, όπως η χρήση ψευδωνύμου σε έναν ιστότοπο κοινωνικής δικτύωσης που απαιτεί από τους χρήστες να ακολουθούν την πραγματική τους ονόματα.
Τα τελευταία χρόνια τα δικαστήρια έχουν αρχίσει να συμφωνούν. Πέρυσι το Ανώτατο Δικαστήριο περιόρισε το πεδίο εφαρμογής του νόμου, αποφασίζοντας ότι δεν μπορούσε να χρησιμοποιηθεί για τη δίωξη ατόμων που είχαν νόμιμη πρόσβαση στα δεδομένα αλλά εκμεταλλεύονταν την πρόσβασή τους ακατάλληλα. Και τον Απρίλιο, ένα ομοσπονδιακό εφετείο έκρινε ότι η αυτοματοποιημένη συλλογή δεδομένων από ιστότοπους, γνωστή ως web scraping, δεν παραβιάζει το νόμο. Τον περασμένο μήνα, το Υπουργείο Δικαιοσύνης είπε στους εισαγγελείς ότι δεν θα έπρεπε πλέον να χρησιμοποιούν τον νόμο για να καταδιώκουν χάκερ που συμμετείχαν σε «καλής πίστης έρευνα ασφάλειας».
Η δίκη της κυρίας Thompson θα εγείρει ερωτήματα σχετικά με το πόσο μακριά μπορούν να φτάσουν οι ερευνητές ασφάλειας στην αναζήτηση ελαττωμάτων στον κυβερνοχώρο προτού οι ενέργειές τους παραβιάσουν το νόμο. Οι εισαγγελείς είπαν ότι η κυρία Thompson είχε σχεδιάσει να χρησιμοποιήσει τις πληροφορίες που συγκέντρωσε για κλοπή ταυτότητας και είχε εκμεταλλευτεί την πρόσβασή της σε εταιρικούς servers σε ένα σχέδιο εξόρυξης κρυπτονομισμάτων. Ωστόσο, οι δικηγόροι της υποστήριξαν ότι η ανακάλυψη ελαττωμάτων στο σύστημα αποθήκευσης δεδομένων της Capital One από την κυρία Thompson αντανακλά τις ίδιες πρακτικές που χρησιμοποιούν οι νόμιμοι ερευνητές ασφάλειας και δεν πρέπει να θεωρείται εγκληματική δραστηριότητα.
Το Υπουργείο Δικαιοσύνης έχει υποστηρίξει ότι η κα Thompson δεν είχε κανένα ενδιαφέρον να βοηθήσει την Capital One να κλείσει τις τρύπες στην ασφάλειά της και ότι δεν μπορεί να θεωρηθεί “white hat” hacker. Αντίθετα, μίλησε με φίλους στο διαδίκτυο για το πώς θα μπορούσε να επωφεληθεί από την παραβίαση, σύμφωνα με νομικές καταθέσεις.
Δείτε επίσης: Shields: Παραβίαση δεδομένων επηρεάζει 2 εκατομμύρια Αμερικανούς
Δεν είναι ασυνήθιστο για τους ερευνητές ασφάλειας να δοκιμάζουν τα τρωτά σημεία που ανακαλύπτουν, βεβαιώνοντας ότι οδηγούν σε ελαττώματα που εκθέτουν δεδομένα, πριν αναφέρουν τα προβλήματα στις εταιρείες, ώστε να μπορούν να επιλυθούν. Ωστόσο, η λήψη χιλιάδων αρχείων και η εγκατάσταση μιας λειτουργίας εξόρυξης κρυπτονομισμάτων ήταν «εσκεμμένα κακόβουλες ενέργειες που δεν συμβαίνουν κατά τη διάρκεια των δοκιμών ασφαλείας», είπε ο κ. Wisniewski.
Η κυρία Thompson μεγάλωσε στο Αρκάνσας, όπου δυσκολευόταν να προσαρμοστεί αλλά διέπρεψε με τους υπολογιστές, σύμφωνα με τα δικαστικά αρχεία. Εγκατέλειψε το γυμνάσιο και έκανε σχέδια να μετακομίσει στο Σιάτλ, όπου τελικά εντάχθηκε σε μια ακμάζουσα κοινότητα τεχνολόγων και ξεκίνησε την μετάβαση φύλου που ήθελε να κάνει.
Το 2005, πριν κλείσει τα 20, η κυρία Thompson εργαζόταν ήδη σε μια σειρά από εργασίες ανάπτυξης λογισμικού. Το 2015, εξασφάλισε μια δουλειά στην Amazon Web Services, την πτέρυγα υπολογιστών cloud του διαδικτυακού κολοσσού λιανικής, και εργάστηκε εκεί για λίγο περισσότερο από ένα χρόνο. Όμως, η κυρία Thompson περιστασιακά πάλευε με την ψυχική της υγεία και κατά καιρούς ένιωθε αποξενωμένη από τους συνομηλίκους της στον κλάδο της τεχνολογίας, ανησυχώντας ότι δεν αποδέχονταν τη μετάβασή της, έγραψε στα μέσα κοινωνικής δικτύωσης και σε ένα προσωπικό blog.
Ακριβώς όπως η Amazon αποθηκεύει εκατομμύρια φυσικά αγαθά σε μια ιλιγγιώδη σειρά αποθηκών, το Amazon Web Services φιλοξενεί τεράστιες ποσότητες δεδομένων για άλλες εταιρείες που νοικιάζουν χώρο στους servers της. Μεταξύ των πελατών της ήταν η Capital One.
Στις αρχές του 2019, αρκετά χρόνια αφότου σταμάτησε να εργάζεται για τα Amazon Web Services, η κ. Thompson αναζήτησε πελάτες της που δεν είχαν δημιουργήσει σωστά firewalls για να προστατεύσουν τα δεδομένα τους. «Η Thompson σάρωσε δεκάδες εκατομμύρια πελάτες AWS ψάχνοντας για τρωτά σημεία», έγραψε ο κ. Brown σε μια νομική κατάθεση. Μέχρι τον Μάρτιο, είχε ανακαλύψει μια ευπάθεια που της επέτρεπε να κατεβάζει δεδομένα από την Capital One, πρόσθεσε ο εισαγγελέας.
Τον Ιούνιο του 2019, η κυρία Thompson έστειλε διαδικτυακά μηνύματα σε μια γυναίκα και αποκάλυψε τι είχε βρει, σύμφωνα με τις νομικές καταθέσεις. Η κ. Thompson πρόσθεσε ότι είχε σκεφτεί να μοιραστεί τα δεδομένα με έναν scammer και είπε ότι θα αποκάλυπτε δημόσια τη συμμετοχή της στην παραβίαση.
Δείτε επίσης: Black Basta ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Η γυναίκα πρότεινε στην κυρία Thompson να παραδοθεί στις αρχές, είπαν οι εισαγγελείς. Ένα μήνα αργότερα, η γυναίκα επικοινώνησε με την Capital One και είπε στην τράπεζα για την παραβίαση. Η Capital One ενημέρωσε τους αξιωματούχους επιβολής του νόμου και η κυρία Thompson συνελήφθη στα τέλη Ιουλίου 2019. Εάν καταδικαστεί, μπορεί να αντιμετωπίσει περισσότερα από 30 χρόνια φυλάκιση.
Πηγή πληροφοριών: nytimes.com
