Justin Sean Johnson, un hombre de Michigan de 29 años, recientemente ha sido arrestado presuntamente por estar detrás del incidente de piratería de UPMC. Se le acusó de cuarenta y tres cargos de conspiración, fraude electrónico y robo de identidad.
UPMC o llamado University of Pittsburgh Medical Center es el proveedor y asegurador de atención médica más grande de Pensilvania con 90, 000 y más empleados, 40 hospitales integrados y 700 consultorios médicos y centros de atención ambulatoria. La presunta persona robó la información de PII y W-2 de más de 65, 0000 empleados y la vendió en dark web, en el año 2014.
Brady, el abogado estadounidense dijo en un comunicado de prensa:
«Justin Johnson está acusado de robar los nombres, números de Seguridad Social, direcciones e información salarial de cada empleado del sistema de atención médica más grande de Pensilvania. Después de su pirateo, Johnson vendió la información de identificación personal de los empleados de UPMC a compradores de todo el mundo en mercados web oscuros, quienes a su vez participaron en una campaña masiva de más estafas y robos «.
La acusación afirma que, en primer lugar, Johnson pirateó la red de bases de datos de recursos humanos de la UPMC a través del sistema de gestión de recursos humanos Oracle PeopleSoft de la compañía, a fines de diciembre de 2013. El día del ataque, logró acceder a aproximadamente 23, 5000 datos de PII de los empleados de UPMC. En el mes de enero y febrero, para el año próximo, accedió continuamente a la base de datos de recursos humanos y robó la PII de decenas de miles de otros empleados de UPMC.
Vendió estos datos en AlphaBay Market and Evolution y otros mercados de darknet que los usaron de manera fraudulenta para pedir a los usuarios miles de dólares en reembolsos de impuestos falsos que ascendieron a $ 1.7 millones. Estos se convirtieron en tarjetas de regalo de Amazon y luego se usaron para comprar mercancía de Amazon que se envió a Venezulela a través de los servicios de reenvío de Miami.
Un comunicado de prensa del departamento de Justicia dice:
«La acusación formal alega que Johnson, desde 2014 hasta 2017, como TDS o DS, vendió regularmente otra PII a compradores en foros web oscuros, que podrían usarse para cometer robo de identidad y fraude bancario»
Según el memorándum de acusación, Johnson es declarado culpable, será sentenciado hasta 5+ 20+ 2 años de prisión por conspiración, fraude electrónico y robo de identidad agregado respectivamente más $ 250,000 en cada caso. Sin embargo, el acusado no es culpable hasta que se demuestre en la ley judicial.
El abogado estadounidense Brady concluyó:
«Los hackers como Johnson deberían saber que nuestra oficina lo perseguirá sin descanso hasta que esté bajo custodia y se haga responsable de sus crímenes».
Timothy Bruke, Encargado en el Agente Especial del Servicio Secreto de EE. UU. Agregó sobre esto:
«El sector de la salud se ha convertido en un objetivo atractivo para los ciberdelincuentes que buscan actualizar la información personal para su uso en el fraude; el Servicio Secreto se compromete a detectar y arrestar a aquellos que cometen delitos contra los sistemas críticos de nuestra nación para su propio beneficio».