Een rechter uit Ohio heeft een tijdelijk huisverbod uitgevaardigd tegen een veiligheidsonderzoeker die bewijsmateriaal heeft gepresenteerd dat een recente ransomware-aanval op de stad Columbus enorme hoeveelheden gevoelige persoonlijke gegevens heeft verzameld, wat de beweringen van stadsfunctionarissen tegenspreekt.
Het bevel, uitgevaardigd door een rechter in Franklin County, Ohio, komt nadat de stad Columbus op 18 juli het slachtoffer werd van een ransomware-aanval waarbij 6,5 terabyte aan stadsgegevens werd geëxtraheerd. Een ransomwaregroep, bekend als Rhysida, eiste de eer op voor de aanval en bood aan de gegevens te verkopen met een aanvankelijk bod van ongeveer $1,7 miljoen in bitcoins. Op 8 augustus, nadat de veiling geen bieder had gevonden, plaatste Rhysida naar eigen zeggen ongeveer 45 procent van de gestolen gegevens op de dark website van de groep, die toegankelijk is voor iedereen met een TOR-browser.
Het dark web is niet gemakkelijk toegankelijk voor het publiek, echt waar?
Burgemeester Andrew Ginther van Columbus zei op 13 augustus dat een “doorbraak” in het forensisch onderzoek van de stad naar de inbreuk aan het licht bracht dat gevoelige bestanden die Rhysida had verkregen, gecodeerd of beschadigd waren, waardoor ze “onbruikbaar” werden voor dieven. Ginther zei verder dat het gebrek aan gegevensintegriteit waarschijnlijk de reden is dat de ransomwaregroep de gegevens niet heeft kunnen veilen.
Kort nadat Ginther zijn opmerkingen had gemaakt, nam veiligheidsonderzoeker David Leroy Ross contact op met lokale nieuwsmedia en presenteerde hij bewijs waaruit bleek dat de gegevens die Rhysida vrijgaf volledig intact waren en zeer gevoelige informatie bevatten over stadsmedewerkers en inwoners. Ross, die de alias Connor Goodwolf gebruikt, presenteerde screenshots en andere gegevens waaruit bleek dat de bestanden die Rhysida uploadde namen bevatten van gevallen van huiselijk geweld en burgerservicenummers van politieagenten en slachtoffers van misdrijven. Sommige gegevens omvatten jaren.
Donderdag heeft de stad Columbus Ross aangeklaagd wegens vermeende onrechtmatige schade, inbreuk op de privacy, nalatigheid en burgerlijke bekering. De rechtszaak beweerde dat het downloaden van documenten van een donkere website van ransomware-aanvallers betekende dat hij met hen ‘interactie’ had en dat er speciale expertise en hulpmiddelen nodig waren. De rechtszaak bleef Ross uitdagen door verslaggevers te waarschuwen voor de informatie, waarvan zij beweerden dat deze niet gemakkelijk voor anderen zou komen.
“Alleen individuen die bereid zijn om te navigeren en te communiceren met het criminele element op het dark web, en die ook over de computerexpertise en hulpmiddelen beschikken die nodig zijn om gegevens van het dark web op te halen, zouden daartoe in staat zijn”, schreven openbare aanklagers. “Gegevens gepubliceerd op het dark web zijn niet direct beschikbaar voor publieke consumptie. Dat doet de verdachte.”
Diezelfde dag willigde een rechter uit Franklin County het verzoek van de stad om een tijdelijk straatverbod tegen Ross in. Verbiedt de onderzoeker om “toegang te krijgen tot en/of te downloaden en/of te verspreiden” stadsbestanden die naar het dark web zijn geüpload. De motie werd ingediend en ‘ex parte’ toegekend, dat wil zeggen in het geheim voordat Ross op de hoogte werd gebracht of de kans kreeg om zijn zaak voor te leggen.
Op een persconferentie donderdag verdedigde de advocaat van Columbus, Zach Klein, zijn beslissing om Ross aan te klagen en een straatverbod te verkrijgen.
“Dit gaat niet over de vrijheid van meningsuiting of klokkenluiden”, zei hij. “Het gaat hier om het terughalen en onthullen van gestolen gegevens van een strafrechtelijk onderzoek. Dit effect is te behalen [Ross] om te stoppen met het downloaden en openbaar maken van gestolen strafregisters om de openbare veiligheid te beschermen.”
Het Openbaar Ministerie van Columbus City reageerde niet op vragen per e-mail. Het heeft de volgende verklaring afgelegd:
De rechtszaak die is aangespannen door de stad Columbus heeft betrekking op gestolen gegevens die de heer Ross van het dark web naar zijn lokale apparaat heeft gedownload en aan de media heeft vrijgegeven. Verschillende verkooppunten gebruikten de gestolen gegevens die Ross verstrekte zelfs om van deur tot deur te gaan en contact op te nemen met personen met behulp van de namen en adressen in de gestolen gegevens. Zoals inmiddels breed uitgemeten is, heeft dhr. Ross heeft ook laten zien dat meerdere kranten gestolen hebben, geheime gegevens van de stad die volgens hem de identiteit van undercoveragenten en slachtoffers van misdrijven onthullen, evenals bewijsmateriaal uit actieve strafrechtelijke onderzoeken. Het delen van deze gestolen gegevens bedreigt de openbare veiligheid en de integriteit van onderzoeken. Het door de rechtbank uitgevaardigde tijdelijke straatverbod verbiedt dhr. Ross om de gestolen gegevens van de stad te verspreiden. De heer Ross is nog steeds vrij om over het cyberincident te praten en zelfs te beschrijven wat voor soort gegevens zich op het dark web bevinden; hij kan die gegevens gewoon niet vrijgeven.
Pogingen om Ross te bereiken voor commentaar waren niet succesvol. Een e-mail naar het kantoor van de burgemeester van Columbus bleef onbeantwoord.
Zoals hierboven te zien is in de Rhysida dark web-screenshot op vrijdagochtend, blijven gevoelige gegevens beschikbaar voor iedereen die ernaar op zoek is. Het bevel van vrijdag kan Ross ervan weerhouden toegang te krijgen tot de gegevens of deze onder verslaggevers te verspreiden, maar het heeft geen effect op degenen die van plan zijn de gegevens voor kwaadaardige doeleinden te gebruiken.