Um homem de Kansas City se declarou culpado de hackear diversas organizações para anunciar seus serviços de cibersegurança, anunciou o Departamento de Justiça dos EUA na quarta-feira.
Nicholas Michael Kloster, de 32 anos, foi indiciado no ano passado por invadir as redes de três organizações em 2024, incluindo um clube de saúde e uma corporação sem fins lucrativos do Missouri.
De acordo com documentos judiciais, Kloster acessou os sistemas de um clube de saúde que opera diversas academias no Missouri após violar uma área restrita.
Em seguida, enviou um e-mail para um dos donos da rede de academias, alegando que havia hackeado sua rede e oferecendo seus serviços na mesma mensagem, aparentemente buscando garantir um contrato de consultoria em cibersegurança com a empresa.
"Consegui contornar o login das câmeras de segurança usando seus endereços IP visíveis.
Também obtive acesso às configurações do Roteador GoogleFiber, o que me permitiu usar [redigido] para explorar contas de usuários associadas ao domínio", disse Kloster no e-mail.
"Se consigo acessar os arquivos no computador de um usuário, isso indica potencial para acesso mais profundo ao sistema."
Ele também disse nesse e-mail que havia "auxiliado mais de 30 pequenas e médias empresas industriais na área de Kansas City, Missouri".
Além de enviar uma proposta de contrato para o dono da academia, Kloster removeu sua fotografia do banco de dados da academia, reduziu sua taxa mensal de associação para apenas US$ 1 e roubou o crachá de um membro da equipe.
Semanas depois, o réu postou uma captura de tela nas redes sociais que exibia o sistema de câmeras de segurança da academia e indicava que havia ganhado controle sobre ele.
Em 20 de maio, Kloster também teria violado as instalações restritas de uma organização sem fins lucrativos, onde usou um disco de inicialização para contornar os requisitos de autenticação e roubou informações sensíveis de um "computador protegido", um sistema "usado ou que afeta o comércio ou a comunicação interestadual ou internacional" conforme descrito pelo DOJ.
Kloster usou seu acesso ao computador da organização sem fins lucrativos para instalar uma rede privada virtual (VPN) e alterar as senhas de várias contas de usuário.
O réu também é acusado de usar informações de cartão de crédito roubadas de uma terceira empresa, um ex-empregador que demitiu Kloster em 30 de abril de 2024, após ele usar os cartões de crédito da empresa roubados para comprar 'pendrives de hacking' projetados para explorar sistemas vulneráveis.
Se for considerado culpado, Kloster enfrentará uma pena potencial de até cinco anos em prisão federal sem liberdade condicional, além de uma multa de até $250.000, três anos de liberação supervisionada e uma ordem de restituição.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...