هک پایگاه‌های داده ورزشی توسط مربی سابق فوتبال میشیگان

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، وزارت دادگستری کیفرخواستی ۲۴ موردی علیه متیو وایس، ۴۲ ساله، منتشر کرد.

وایس دو فصل به عنوان هماهنگ‌کننده هجومی مشترک تیم مشهور دانشگاه میشیگان فعالیت داشت و پیش از آن در نقش‌های جزئی برای تیم بالتیمور ریونز در لیگ ان اف ال (NFL) کار می‌کرد.

جولی بک، دادستان موقت ایالات متحده، این اتهامات را اعلام و وایس را متهم کرد که از سال ۲۰۱۵ تا ژانویه ۲۰۲۳ به پایگاه‌های داده بیش از ۱۰۰ دانشگاه و کالج که توسط شرکت کفر دولوپمنت سرویس (Keffer Development Services) مدیریت می‌شدند، بدون مجوز دسترسی پیدا کرده است.

دانشگاه میشیگان در سال ۲۰۲۱ وایس را استخدام و در ژانویه ۲۰۲۳ او را اخراج کرد.

بر اساس کیفرخواست، وایس اطلاعات شخصی و پزشکی بیش از ۱۵۰ هزار ورزشکار را دانلود کرده است.

علاوه بر این، او به حساب‌های شبکه‌های اجتماعی، ایمیل و فضای ذخیره‌سازی ابری بیش از ۲ هزار ورزشکار و همچنین ۱,۳۰۰ دانشجو و فارغ‌التحصیل دیگر از دانشگاه‌های سراسر کشور دسترسی پیدا کرده است.

طبق کیفرخواست، وایس عمدتاً ورزشکاران زن دانشگاه‌ها را هدف قرار می‌داد و این زنان را بر اساس وابستگی دانشگاهی، سابقه ورزشی و ویژگی‌های فیزیکی آن‌ها مورد تحقیق و هدف قرار می‌داد.

هدف او دسترسی به عکس‌ها و ویدیوهای خصوصی بود که فقط برای شریکان عاطفی در نظر گرفته شده بودند.

دادستان‌ها اعلام کردند که وایس اطلاعات شخصی برخی از زنان را ثبت می‌کرد و حتی پس از گذشت ماه‌ها یا سال‌ها، به حساب‌های هک‌شده آن‌ها بازمی‌گشت.

او با هک حدود ۱۵۰ حساب در سیستم کفر دولوپمنت سرویس، به سطوح دسترسی بالایی که معمولاً فقط به مربیان و مدیران ورزشی داده می‌شود، دست یافت.

بر اساس اسناد دادگاه، وایس رمزگذاری‌های محافظ رمزهای عبور ورزشکاران را شکسته است و این تکنیک‌ها را از طریق تحقیقات اینترنتی آموخته بود.

او همچنین از اطلاعات فاش‌شده در نشت‌های امنیتی برای یافتن اطلاعات ورود به حساب‌های خاص ورزشکاران استفاده کرده و از نقاط ضعف در فرآیند احراز هویت دانشگاه‌ها برای دسترسی به حساب‌های دانشجویان و فارغ‌التحصیلان بهره برده است.

در میان دانشگاه‌هایی که اطلاعات دانشجویان آن‌ها مورد حمله قرار گرفته، فقط دانشگاه میشیگان و کالج وست‌مونت نام برده شده‌اند.

شرکت کفر دولوپمنت سرویس که با نام سیستم آموزش ورزشی (Athletic Trainer System) نیز شناخته می‌شود، در این باره اظهار نظری نکرده است.

این شرکت مستقر در پنسیلوانیا پلتفرمی را ارائه می‌دهد که به مربیان اجازه می‌دهد آسیب‌های هزاران ورزشکار دبیرستانی و دانشگاهی را ثبت کنند و ادعا می‌کند که از مقررات امنیت داده فدرال، از جمله HIPAA و FedRAMP پیروی می‌کند.

وایس با ۱۴ اتهام دسترسی غیرمجاز به رایانه‌ها و ۱۰ اتهام سرقت هویت شدید روبه‌رو است.

او ممکن است برای هر اتهام هک حداکثر ۵ سال و برای هر اتهام سرقت هویت حداکثر ۲ سال زندان محکوم شود.

جولی بک، دادستان موقت، اعلام کرد:

دفتر ما به طور جدی جرایم هک رایانه‌ای را پیگیری خواهد کرد تا از حساب‌های خصوصی شهروندان محافظت کند.

چیوری گیبسون، مامور ویژه اف بی آی در میشیگان، افزود که گروه ویژه سایبری اف بی آی در دیترویت با همکاری پلیس دانشگاه میشیگان روی این پرونده کار کرده است.

دانشگاه میشیگان از اظهار نظر در مورد کیفرخواست خودداری کرد و همه سؤالات را به وزارت دادگستری ارجاع داد.

این دانشگاه همچنین بیانیه‌ای از سال ۲۰۲۳ را بازنشر کرد که در آن اعلام شده بود:

پس از بررسی سیاست‌های دانشگاه، بخش ورزشی قرارداد متیو وایس، هماهنگ‌کننده هجومی مشترک و مربی کوارتربک‌ها را فسخ کرده است. مطابق با سیاست دانشگاه، در این مورد توضیح بیشتری ارائه نخواهیم داد.

تیم بالتیمور ریونز و ان اف ال نیز از اظهار نظر درباره وایس خودداری کردند.

در ژانویه ۲۰۲۳، دانشگاه میشیگان وایس را تعلیق و اظهار کرد که در حال بررسی گزارشی درباره جرایم دسترسی غیرمجاز به رایانه است که در دسامبر ۲۰۲۲ در تأسیسات تیم رخ داده بود.

یک گزارش جرم روزانه دانشگاه نشان می‌دهد که در ۵ ژانویه ۲۰۲۳، یکی از کارکنان فعالیت‌های مشکوکی را گزارش داده که شامل دسترسی غیرمجاز به حساب‌های ایمیل دانشگاه بوده است.

پس از بررسی بیشتر، مشخص شد که یک جرم احتمالی رخ داده است.