Un spécialiste des technologies de l’information au Agence fédérale de gestion des urgences (FEMA) a été arrêtée cette semaine, soupçonnée d’avoir piraté les bases de données des ressources humaines de Centre médical de l’Université de Pittsburgh (UPMC) en 2014, volant les données personnelles de plus de 65 000 employés de l’UPMC et revendant les données sur le dark web.
Le 16 juin, les autorités du Michigan ont arrêté un homme de 29 ans JustinSean Johnson dans le cadre d’un acte d’accusation de 43 chefs d’accusation de complot, de fraude électronique et d’usurpation d’identité aggravée.
Les procureurs fédéraux de Pittsburgh allèguent qu’en 2013 et 2014, Johnson a piraté le Oracle PeopleSoft bases de données pour UPMC, une entreprise de santé à but non lucratif de 21 milliards de dollars qui comprend plus de 40 hôpitaux.
Selon l’acte d’accusation, Johnson a volé des informations sur les 65 000 employés actuels et anciens de l’époque, y compris leurs noms, dates de naissance, numéros de sécurité sociale et salaires.
Les données volées comprenaient également des données du formulaire fédéral W-2 contenant des informations sur l’impôt sur le revenu et les retenues à la source, des enregistrements que les procureurs affirment que Johnson a vendus sur des marchés du dark web à des voleurs d’identité impliqués dans des fraudes au remboursement d’impôt et d’autres délits financiers. Les demandes de remboursement d’impôt frauduleuses faites au nom des victimes d’usurpation d’identité de l’UPMC ont amené l’IRS à émettre 1,7 million de dollars de faux remboursements en 2014.
« Les informations ont été vendues par Johnson sur des forums Web sombres pour être utilisées par des conspirateurs, qui ont rapidement déposé des centaines de fausses déclarations de revenus du formulaire 1040 en 2014 en utilisant les PII des employés de l’UPMC », lit-on. une déclaration à partir de Procureur américain Scott Brady. « Ces fausses déclarations 1040 ont réclamé des centaines de milliers de dollars de faux remboursements d’impôts, qu’ils ont convertis en cartes-cadeaux Amazon.com, qui ont ensuite été utilisées pour acheter des marchandises Amazon qui ont été expédiées au Venezuela. »
Johnson n’a pas pu être joint pour un commentaire. Lors d’une audience à Pittsburgh cette semaine, un juge a ordonné la détention de l’accusé dans l’attente de son procès. L’avocat de Johnson a refusé de commenter les accusations.
Les procureurs allèguent que l’intrusion de Johnson dans l’UPMC n’était pas un événement isolé et que, pendant plusieurs années après le piratage de l’UPMC, il a vendu des informations personnellement identifiables (PII) à des acheteurs sur des forums Web sombres.
L’acte d’accusation indique que Johnson a utilisé les alias de pirate « DS et » TDS « pour commercialiser les enregistrements volés aux voleurs d’identité sur les marchés du dark web Evolution et AlphaBay. Cependant, des copies archivées des forums du dark web aujourd’hui disparus indiquent que ces alias ne sont que des abréviations qui signifient « DearthStar » et « L’EtoileDearth, » respectivement.
« Vous pouvez vous attendre à de bonnes choses au moment des impôts, car j’aurai beaucoup de profils avec des AGI vérifiés de l’année précédente pour rendre votre dépôt de remboursement 10 fois plus facile », a annoncé TheDearthStar dans un message d’août 2015 aux membres d’AlphaBay.
Dans certains cas, il semble que ces identités de DearthStar aient été activement impliquées non seulement dans la vente de PII et la fraude au remboursement d’impôt, mais aussi dans le vol direct de la masse salariale des entreprises.
Dans un article d’août 2015 sur AlphaBay intitulé « J’aimerais organiser un braquage mais… », TheDearthStar a sollicité des gens pour l’aider à encaisser l’accès qu’il avait aux systèmes de paie de plusieurs entreprises différentes :
« … Je n’ai nulle part où envoyer l’argent. J’aimerais tirer parti de l’accès que j’ai aux systèmes de paie de quelques entreprises et balayer une partie de leur masse salariale. Idéalement, j’aimerais trouver quelqu’un qui dispose d’un réseau de personnes de confiance pouvant recevoir des dépôts ACH.
Lorsqu’un autre membre d’AlphaBay demande combien il peut obtenir, TheDearthStar répond : « Cela dépend du nombre de personnes dont les registres de paie sont « ajustés ». Peut-être 1 000 $ pourrait être 100 000 $.
2014 et 2015 ont été des années particulièrement mauvaises pour la fraude au remboursement d’impôt, une forme d’usurpation d’identité qui a coûté des milliards de dollars aux contribuables et au Trésor américain. En avril 2014, BreachTrace a écrit à propos d’un pic de fraude au remboursement d’impôt perpétré contre des professionnels de la santé qui a poussé beaucoup à spéculer sur le fait qu’un ou plusieurs des principaux prestataires de soins de santé avaient été piratés.
Une histoire de suivi le même mois a examiné le travail d’un gang de cybercriminalité qui piratait les services des ressources humaines d’organisations de soins de santé à travers le pays et déposait des demandes frauduleuses de remboursement d’impôt auprès de l’IRS sur les employés de ces entreprises victimes.
L’acte d’accusation du ministère de la Justice cite le CV en ligne de Johnson indiquant qu’il est compétent dans l’installation et l’administration des systèmes Oracle PeopleSoft. UNE CV LinkedIn pour un Justin Johnson de Detroit dit la même chose, et qu’au cours des cinq derniers mois, il a été spécialiste des technologies de l’information à la FEMA. UNE profil Facebook avec la même photo appartient à un Justin S. Johnson de Detroit.
Le curriculum vitae de Johnson indique également qu’il a été indépendant pendant sept ans en tant que « chercheur en cybersécurité / chasseur de primes de bogues » qui a été classé dans le top 1 000 par réputation sur Hacker unun programme qui récompense les chercheurs en sécurité qui détectent et signalent des vulnérabilités dans les logiciels et les applications Web.