Kota Columbus Gugat Pakar yang Mengungkap Skala Serangan Siber

 (10tv.com)
1 poin oleh GN⁺ 2024-09-01 | 1 komentar | Bagikan ke WhatsApp

  • Pengadilan negeri menyetujui perintah larangan mendekat terhadap pakar keamanan siber yang mengungkap kebocoran data kota

    • Seorang hakim di Franklin County menyetujui perintah larangan mendekat sementara terhadap Connor Goodwolf, pakar keamanan siber yang mengungkap jenis dan jumlah informasi yang bocor akibat serangan siber terhadap kota bulan lalu
    • Dalam beberapa minggu terakhir, Goodwolf menjelaskan secara rinci informasi apa saja yang ada di dark web melalui wawancara dengan 10TV dan media lainnya

  • Perkembangan serangan siber terhadap kota

    • Pada 18 Juli, kota memutus koneksi internet setelah departemen teknologinya menemukan tanda-tanda anomali pada sistem
    • Dua minggu kemudian, kelompok peretas Rhysida mengklaim bertanggung jawab atas serangan itu dan mengumumkan bahwa mereka memiliki 6.5 terabyte data
    • Rhysida kemudian merilis 45% dari data yang dicuri dari kota

  • Dampak kebocoran data

    • Pada 13 Agustus, Wali Kota Andrew Ginther mengumumkan bahwa data yang dicuri peretas telah rusak atau terenkripsi sehingga tidak berguna
    • Namun, dalam wawancara dengan 10TV, Goodwolf mengatakan klaim itu tidak benar dan menunjukkan informasi pribadi yang dapat ia akses
    • Goodwolf baru-baru ini mengungkap bahwa Columbus police crime matrix dapat diunduh. Basis data ini mencakup informasi saksi, korban, dan tersangka dari laporan polisi selama 10 tahun terakhir

  • Perintah larangan mendekat dan gugatan

    • Kota mengajukan dan memperoleh perintah larangan mendekat sementara terhadap Goodwolf. Kota menuntut ganti rugi setidaknya $25,000, dengan jumlah total yang akan ditentukan di persidangan
    • Pengadilan memerintahkan Goodwolf untuk menghentikan akses, pengunduhan, dan distribusi data kota yang dicuri
    • Kota menuduh Goodwolf telah menyebabkan "kerugian yang tidak dapat diperbaiki" dan "kekhawatiran luas di seluruh wilayah Ohio Tengah"

  • Posisi kota

    • Pengacara kota Jack Klein menegaskan bahwa kasus ini bukan upaya untuk menekan kebebasan berbicara Goodwolf
    • Klein menjelaskan bahwa langkah ini dimaksudkan untuk menghentikan penyebaran data yang mengancam penyelidikan kriminal
    • Klein mengatakan mereka berupaya melindungi petugas polisi, korban, dan saksi, serta menuduh informasi yang diunduh dan dibagikan Goodwolf sebagai ancaman bagi keselamatan publik

  • Rencana Goodwolf

    • Goodwolf mengatakan ia berencana mempublikasikan data kota yang dicuri melalui situs web yang ia buat. Namun, ia mengklaim situs tersebut hanya akan digunakan agar orang dapat memeriksa apakah nama mereka termasuk dalam kebocoran data

  • Respons kota

    • Kantor Klein menyatakan menghormati keputusan hakim, dan menyebutnya sebagai langkah positif untuk mencegah penyebaran data personel rahasia dan data korban yang dicuri
    • Kota mengajukan empat tuntutan terhadap Goodwolf: ganti rugi akibat tindakan kriminal, pelanggaran privasi, kelalaian, dan civil conversion
    • Sidang pendahuluan final dijadwalkan pada 18 September 2025

Ringkasan GN⁺

  • Kasus ini membahas respons hukum terhadap pakar keamanan siber yang mengungkap informasi penting terkait kebocoran data kota
  • Berlawanan dengan pernyataan kota, Goodwolf memicu kontroversi dengan mengungkap bahwa data yang dicuri peretas masih berguna
  • Kota menuduh tindakan Goodwolf mengancam keselamatan publik dan mengambil langkah hukum
  • Kasus ini kembali mengingatkan persoalan hukum dan etika terkait kebocoran data, sekaligus menekankan pentingnya keamanan data

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-01
Komentar Hacker News

  • Sebagai mantan pentester, saya bersimpati pada Goodwolf, tetapi mengungkap data nyata hampir selalu merupakan ide buruk

    • Itulah alasan program bug bounty memiliki cakupan terbatas
    • Kota tampaknya marah karena Goodwolf membagikan data terkait penyelidikan yang sedang berlangsung dan laporan polisi rahasia
    • Mengambil data lalu memberikannya kepada orang lain jelas bukan ide yang baik
    • Untuk membuktikan kepada jurnalis bahwa data itu ada dan bisa diunduh, ada banyak cara yang bisa dilakukan tanpa mengakses datanya: mengambil tangkapan layar posting forum, mengirim tautannya kepada jurnalis, atau menjelaskan jenis datanya, dan sebagainya
    • Jika dia sudah melakukan itu tetapi kota tetap bereaksi seperti ini, maka itu jelas merupakan penyalahgunaan
    • Memerintahkan agar data tentang penyelidikan yang sedang berlangsung tidak disebarkan kepada jurnalis bukanlah hal yang tidak masuk akal
    • Tidak ada orang yang ingin insiden pribadinya tersebar lebih luas
    • Saya sangat bersimpati padanya karena kesalahan seperti ini mudah dilakukan
    • Sebelum masuk ke industri ini, saya mengira ini termasuk white hat hacking
    • Meningkatkan kesadaran tentang pelanggaran jelas merupakan hal baik, tetapi bagaimana melakukannya benar-benar penting
    • Saya bekerja di industri ini sekitar satu tahun pada 2016, tetapi bahkan hari ini saya tidak menganggap penyebaran data nyata yang telah dibobol akan dapat diterima bagi siapa pun yang bekerja sebagai pentester

  • Goodwolf mengancam akan membuat situs webnya sendiri untuk mempublikasikan data curian milik kota

    • Goodwolf mengatakan kepada 10TV bahwa ia berencana menyiapkan situs webnya, tetapi akan memungkinkan orang memeriksa apakah nama mereka termasuk dalam kebocoran data tersebut
    • Ini berbeda dengan membuat situs untuk memeriksa apakah kata sandi Anda telah bocor
    • Situs itu bisa memungkinkan seseorang memasukkan nama orang lain untuk memeriksa apakah orang tersebut adalah saksi dalam penyelidikan kriminal
    • Klein mengatakan, "Ini bukan soal ekspresi, melainkan tentang tindakan nyata mengakses dark web dengan keyboard, mengumpulkan informasi, mengunduhnya ke komputer, lalu mendistribusikannya kepada media atau orang lain"

  • Intinya adalah kota berbohong kepada publik tentang kegagalannya melindungi data

    • Para peneliti hanya menunjukkan betapa buruknya sistem keamanan Columbus, OH
    • Pada 13 Agustus, Wali Kota Andrew Ginther mengatakan bahwa data yang dicuri peretas kemungkinan tidak berguna karena telah rusak atau dienkripsi
    • Beberapa jam kemudian, Goodwolf menunjukkan bahwa itu tidak benar dan memperlihatkan jenis informasi pribadi yang bisa ia akses
    • Seluruh jajaran pimpinan kota seharusnya dipecat
    • Mereka ketahuan tidak memiliki keamanan, berbohong kepada publik, lalu ketika kebohongan itu secara sah ditunjukkan, mereka menyulut keadaan dengan gugatan bodoh ini
    • Kota yang panik menggugat orang menyebalkan yang memberi tahu semua orang betapa kacau kota itu
    • Menggugat peneliti keamanan yang menyelidiki isi informasi yang telah dipublikasikan tidak melindungi siapa pun
    • Ini adalah kasus yang sempurna bagi EFF atau ACLU untuk membantu melakukan pembelaan terhadap perintah larangan yang bodoh dan disalahgunakan ini

  • Saya telah tinggal di Columbus selama beberapa tahun

    • Ini benar sekali
    • Ada sesuatu pada kota biru di negara bagian merah yang membuatnya menjadi sangat berani dalam melindungi dirinya sendiri

  • Tambahan untuk daftar:

    • Sindikat peretas: tidak digugat
    • Situs web publik yang meng-host catatan hasil peretasan: tidak digugat
    • Pejabat publik yang berbohong: tidak digugat
    • Joe Schmoe yang menunjukkan ketiga hal ini: digugat