A pesar de décadas de ataques de piratería, las empresas dejan grandes cantidades de datos confidenciales sin protección
Cézary Podkul
Pro Publica
Publicado originalmente el 25 de enero de 22
Aquí hay un extracto:
Hiếu fue una vez uno de esos adolescentes. Creció en un pueblo de pescadores vietnamita donde sus padres tenían una tienda de electrónica. Su padre le dio una computadora cuando tenía 12 años y, como muchos adolescentes, Hiếu se volvió adicto a ella.
Sus actividades en línea rápidamente dieron un giro equivocado. Primero, comenzó a robar inicios de sesión de cuentas de acceso telefónico para poder navegar por la web de forma gratuita. Luego aprendió a redactar sitios web y huir con los datos expuestos en ellos. En la escuela secundaria, se asoció con un amigo que lo ayudó a robar datos de tarjetas de crédito de tiendas en línea y ganar hasta $500 al día para revenderlas.
Eventualmente, otros piratas informáticos le dijeron que el verdadero dinero estaba en recopilar y revender las identidades de los estadounidenses. A diferencia de las tarjetas de crédito, que los bancos pueden cancelar instantáneamente, las identidades robadas pueden reutilizarse para diversos fines fraudulentos.
Alrededor de 2010, Hiếu buscaba formas de obtener perfiles detallados de los estadounidenses. No tomó mucho tiempo encontrar una fuente: MicroBilt, una compañía de informes de crédito al consumidor con sede en Georgia, tenía una vulnerabilidad en su sitio web que permitía a Hiếu identificar y hacerse cargo de las cuentas de los usuarios. Hiếu dijo que usó las credenciales para comenzar a consultar la base de datos de MicroBuilt. Vendió el acceso a los resultados de búsqueda en su almacenamiento de datos en línea llamado Superget.info.
MicroBilt descubrió la vulnerabilidad y expulsó a Hiếu, lo que provocó un enfrentamiento de meses durante el cual Hiếu dijo que explotó múltiples vulnerabilidades en los sistemas de la empresa para mantener su tienda en funcionamiento. MicroBilt no respondió a las solicitudes de comentarios.
Cansado del ir y venir, Hiếu buscó otra fuente. Encontró su camino hacia una compañía llamada Court Ventures, que revendía información personal recopilada sobre estadounidenses. Hiếu usó documentos falsificados para hacerse pasar por un investigador privado de Singapur con un uso legítimo de los datos. Se hizo llamar Jason Low y proporcionó una dirección de correo electrónico de Yahoo falsa. Pronto estuvo adentro.