USAs justisdepartement sier det er tatt ut tiltale mot en 28 år gammel amerikaner, Albert Gonzalez, og to russiske statsborgere, i en sak der 130 millioner ID-er skal ha blitt stjålet fra fire amerikanske butikkjeder samt betalingsselskapet Heartland Payment Systems.
Dette betegnes som verdens hittil største tilfelle av ID-tyveri.
Identiteten til de to russiske tiltalte er ikke kjent, og det er ikke sagt noe om hvordan amerikanske myndigheter har tenkt å få brakt dem for retten.
Gonzalez har sittet i varetekt siden mai 2008, da han ble tiltalt som antatt hovedmann i en sak der minst 40 millioner ID-er ble tappet fra datasystemene til spesielt butikkjeden TJX og bokhandlerkjeden Barnes & Noble. I august i fjor ble Gonzalez tiltalt for å ha stjålet ID-er til kunder av restaurantkjeden Dave & Buster’s.
Til sammen er altså Gonzalez nå tiltalt for å ha vært med på å stjele minst 170 millioner ID-er.
At uvedkommende hadde tappet ID-er fra betalingsselskapet Heartland ble kjent i januar i år, den dagen Barack Obama ble innsatt som USAs president. I februar fikk 1800 norske Eurocard- og Mastercard-brukere, og 11 000 norske Visakort-brukere vite at deres kredittkort var blitt «kopiert av uvedkommende» og at kortene følgelig måtte byttes.
At fire amerikanske supermarkedkjeder er innblandet, har ikke vært tidligere kjent. Tiltalen nevner bare to av dem: Hannaford Brothers og 7-Eleven.
Tappingen av informasjon fra TJX og Dave & Busters skal ha foregått i 2004 og 2006. Data innbruddene mot Heartland og supermarkedene skal ha skjedd fra 2006 til 2008.
Gonzalez er en gammel kjenning av politiet.
I oktober 2004 ble han arrestert og siktet i saken mot cracker-gruppen Shadowcrew som omfattet 4000 medlemmer og svindlet til seg over fire millioner dollar ved hjelp av minst 1,7 millioner stjålne kredittkort. Han slapp tiltale ved å gjøre seg til informant, etter en avtale med Secret Service. Shadowcrew hadde forgreininger i Argentina, Bulgaria, Canada, Estland, Polen, Storbritannia, Sverige og USA. Gonzalez fikk lov av Secret Service til å bosette seg i Florida, der mye av tappingen av TJX-butikkene skjedde.,
Gonzalez har ingen formell utdanning utover videregående («high school») og skal være selvlært innen IT. Han har erklært seg ikke skyldig etter tiltalene fra 2008. Det foreligger ennå ingen erklæring fra han eller hans advokat om eventuell skyld i Heartland-saken.
Tiltaledokumentene i Heartland-saken er sparsomme med tekniske detaljer, men det er klart at det er brukt andre metoder der enn i TJX- og de andre sakene som ble tiltalt i fjor.
TJX-butikkene brukte usikret WLAN til å overføre opplysninger mellom betalingsterminaler og servere, og var følgelig svært usatt for uvedkommende med alminnelig datautstyr.
I Heartland-saken skal det være opprettet et nettverk av servere i delstatene New Jersey, California og Illinois, samt i Nederland, Latvia og Ukraina, for å gjennomføre mer avanserte datainnbrudd. Hovedmetoden for å bryte seg gjennom sikkerhetssperringer skal ha vært SQL-injisering. Bakdørene og datafangstprogrammene som ble lagt igjen hos ofrene skal ha vært kontinuerlig testet mot et tjuetalls kommersielle sikkerhetspakker for å sikre at de ikke kunne avsløres. Videre ser etterforskningen ut til å ha vært hemmet av de kriminelles evne til å slette sine spor.
Gonzalez påstås å være hovedmannen i TJX- og Heartland-sakene.
Han skal ha brukt psevdonymer som «segvec», «soupnazi», «j4guar17» og «cumbajohnny» for å holde kontakt med sine medsammensvorne. Han skal bevisst ha siktet virksomheten mot USAs største selskaper, og ha betegnet det han drev med som «operation get rich or die trying».
Tiltalen anslår verken hvor mye Gonzalez skal ha tjent på virksomheten, eller hvor mye ofrene har tapt. Det siste beløpet er nok langt større, blant annet på grunn av enorme kostnader til å informere mulige ofre og bytte kort, samt tapt renommé. TJX påstår at de har tapt 200 millioner kroner på grunn av de 40 millioner ID-tyveriene de ble utsatt for.
En metode Gonzalez skal ha brukt for å realisere en gevinst, gikk ut på å benytte falske kort i minibanker. Han skal en gang ha klaget over at han måtte telle opp 340 000 dollar – i tjuedollarsedler – for hånd. Denne metoden hadde en stor mangel: Ingen legitim handel foregår ved å overrekke plastposer med pengesedler. Gonzalez skal ha beklaget seg over å ikke kunne samle mer enn 300 000 dollar i en gangbar form.
I undergrunnsforum kan identiteter selges for mellom ti og hundre dollar, avhengig av ofrets profil og kontobegrensninger. Det er ikke opplyst om dette var en inntektskilde for Gonzalez og hans nettverk.
Tiltalen lyder på datainnbrudd, svindel og sammensvergelse. Strafferammen gjengis ulikt i forskjellige amerikanske medier: Konsensus ser ut til å være maksimalt 35 års fengsel. I tillegg kommer en bot, på minimum 500 000 eller 1 million dollar. Boten kan også settes til opptil det dobbelte av det Gonzalez har tjent på sine lovbrudd.
Sikkerhetseksperter er samstemte i at TJX- og Heartland-sakene gjenspeiler særlig finanssektorens undervurdering av omfanget av datakriminalitet og datakriminelles kompetanse.
– Finanssektoren kan være bedre sikret enn de fleste andre, men den blør. De har over tid ikke tatt tilstrekkelig hensyn til hvor sofistikert og godt organisert undergrunnsøkonomien er, sier Tom Kellermann i Core Security Technologies til Wall Street Journal.
Richard Wang i SophosLabs sier til New York Times at butikker og banker må samarbeide om sikrere standarder, og sørge for å kryptere kredittkortopplysninger ikke bare når de lagres, men også når de overføres fra en datamaskin til en annen.
Påtalemyndigheten ser en trøst i at Gonzalez ser ut til å ha vært innblandet i alle de store ID-tyverisakene de siste årene:
– Kanskje individene som oppfører seg slik utgjør en langt mer sammensveiset gruppe enn vi tidligere har trodd, sier anklager Erez Liebermann i USAs justisdepartement til New York Times.
For Wang i SophosLabs er dette liten trøst. Han peker på at det er høyst usikkert hvorvidt de to russiske tiltalte blir pågrepet, og at det åpenbart er mange folk i dataundergrunnen med tilstrekkelig kompetanse til å videreutvikle livsverket til Gonzalez.
Les også:
- [30.07.2010] ID-tyv herjer på Finn.no
- [26.03.2010] WLAN-hacker fikk tjue år
- [14.09.2009] «Verdens største ID-tyv» sa seg skyldig
- [13.02.2009] Sperrer 11.000 Visakort
- [02.02.2009] Datainnbrudd er svinedyrt for offeret
- [12.08.2008] Utrolig opprulling av global kortliga
- [26.09.2007] Kapret kundedata ved å avlytte WLAN
- [29.10.2004] Politiet slo til mot globale ID-tyver