Erano le 6:30 di martedì 24 maggio quando una dozzina di agenti dell’FBI (di cui uno armato con un fucile d’assalto) hanno fatto irruzione nella casa di Justin Shafer, un tecnico informatico ed esperto di sicurezza.
Stando a quanto da lui stesso dichiarato in un’intervista telefonica, l’assalto è avvenuto mentre la sua famiglia, moglie e tre bambini, stavano ancora dormendo.
Il 36enne texano è stato quindi ammanettato e portato fuori di casa ancora in mutande, mentre gli agenti dell’FBI procedevano a sequestrare tutti i suoi computer e i figli in lacrime assistevano alla scena.
Ma qual è stato il crimine di cui si è macchiato Shafer? Stando alle ricostruzioni, l’informatico avrebbe trovato una vulnerabilità nel sistema di memorizzazione dei dati dei pazienti gestiti da Eaglesoft, una società controllata da Patterson Dental e specializzata nella produzione di software gestionali nel settore dentistico.
Nulla di particolarmente eIaborato: in pratica Shafer si è accorto che Eaglesoft caricava le informazioni su server FTP che erano facilmente accessibili da chiunque, mettendo a rischio la privacy di 22.000 pazienti i cui dati sono gestiti con il software sviluppato dall’azienda.
Il tecnico ha quindi contattato il sito Databreaches.net segnalando il problema e avvisando contemporaneamente il produttore del software, che avrebbe provveduto a mettere al sicuro i dati dei pazienti.
In seguito, Shafter ha pubblicato un post sul suo blog denunciando pubblicamente le scarse misure di sicurezza utilizzate da Eaglesoft nella gestione dei dati dei suoi clienti.
Questa, probabilmente, è stata la goccia che ha fatto traboccare il vaso e ha indotto Patterson Dental a denunciarlo sulla base del CFAA (Computer Fraud and Abuse Act).
L’accusa sarebbe quella di “accesso senza autorizzazione” ai sistemi di Eaglesoft. Un reato federale, che ha portato al blitz di martedì scorso. Risultato: 12 uomini armati contro un pericolosissimo tecnico informatico impiegato nel settore odontoiatrico.
Secondo l'accusa, l'hacker avrebbe esagerato nell'investigare i dati a cui ha avuto accesso. Un reato che sicuramente lo pone tra i criminali più pericolosi della nazione...
Si spera, per lo meno, che la vicenda abbia portato gli amministratori di sistema di Eaglesoft a modificare le password di default (sigh) per l’accesso ai database SQL (user name “dba” password “sql”) che secondo Shafter vengono utilizzate dal 2014.