Springfield, Tennessee’den 24 yaşındaki Nicholas Moore, izinsiz bilgisayar erişimi ve dolandırıcılık suçunu kabul ederek hükümetin siber güvenlik ihlaline ilişkin önemli bir vakaya işaret etti.
Moore, birden fazla ABD hükümet sistemini hackledi ve sosyal medya aracılığıyla hassas bilgileri kamuya açıklayarak federal dijital altyapıdaki kritik güvenlik açıklarını ortaya çıkardı.
Ağustos ve Ekim 2023 arasında Moore, üç yüksek değerli hükümet sistemini hedef alan koordineli bir dizi izinsiz giriş gerçekleştirdi.
Yetkili kullanıcılardan çalınan kimlik bilgilerini kullanan Moore, ABD Yüksek Mahkemesi’nin elektronik dosyalama sistemini 25 gün içinde en az 25 kez ihlal etti ve genellikle platforma tek bir gün içinde birden çok kez erişti.
Saldırı, yalnızca yetkili personelin erişebileceği bir sisteme sürekli yetkisiz erişim olduğunu gösterdi.
Moore’un izinsiz giriş metodolojisi, karmaşık istismar tekniklerinden ziyade kimlik bilgileri hırsızlığına dayanıyordu. Birden fazla yetkili kullanıcıdan oturum açma kimlik bilgilerini aldı ve bunları farklı hükümet platformlarında kullandı.
Kimlik bilgilerine dayalı bu saldırı vektörü, bu tür erişimi engellemek için tasarlanmış güvenlik protokollerine rağmen, hükümet sistemlerinin çalınan kimlik doğrulama faktörlerine karşı devam eden savunmasızlığını vurguluyor.
Çoklu Sistem İhlali Kapsamı
Moore’un hackleme kampanyası Yüksek Mahkeme’nin ötesine geçti. 17 Ağustos ile 13 Ekim 2023 tarihleri arasında Moore, çalıntı kimlik bilgilerini kullanarak AmeriCorps sistemlerine erişerek ikinci bir kurbanın hesabından kişisel bilgileri aldı.
Ek olarak Moore, ABD Deniz Piyadeleri gazisinin ele geçirilen kimlik bilgilerini kullanarak 14 Eylül ile 14 Ekim 2023 tarihleri arasında Gaziler İşleri Bakanlığı’nın MyHealthEVet platformuna beş kez erişti.
Bu erişim Moore’un gazinin reçeteli ilaçlar ve gizli tıbbi ayrıntılar da dahil olmak üzere özel sağlık bilgilerini izinsiz olarak görüntülemesine olanak tanıdı.
Moore’un en önemli operasyonel hatası, ihlallerine ilişkin kanıtları Instagram’da @ihackedthegovernment hesabı altında kamuya açık olarak yayınlamasıydı.
Moore, üç ayrı olayda Yüksek Mahkeme dosyalama sisteminin ayrıntılarını, kurban adlarını ve diğer tanımlayıcı bilgileri içeren ekran görüntülerini yükledi.
Benzer şekilde, AmeriCorps kurbanının kişisel bilgilerini ve Gaziler İşleri ihlaline ilişkin kanıtları aynı kamu hesabında, VA sunucularına erişimle ilgili övünmelerle birlikte yayınladı.
Çalınan verilerin sosyal medya aracılığıyla kamuya açıklanması, Moore’un kimliğinin belirlenmesine ve kovuşturulmasına yol açan birincil kanıt yolu haline geldi.
Bu vaka, tehdit aktörlerinin faaliyetlerini kötü şöhret veya övünme amacıyla kamuoyuna duyurarak operasyonel güvenliği nasıl sıklıkla tehlikeye attığını gösteriyor.
Moore, A Sınıfı bir kabahat olan tek bir bilgisayar dolandırıcılığı suçunu kabul etti. 17 Nisan 2026’da ABD Bölge Mahkemesinde Yargıç Beryl A. Howell huzurunda görülmesi planlanan ceza nedeniyle bir yıla kadar hapis ve 100.000 dolar para cezasıyla karşı karşıya kalacak.
Soruşturma, ABD Başsavcı Yardımcıları John Borchert ve Rami Sibay tarafından koordine edilen Yüksek Mahkeme Polisi Koruyucu İstihbarat Birimi, FBI Washington Saha Ofisi, Gaziler İşleri Genel Müfettiş Ofisi ve AmeriCorps Genel Müfettiş Ofisi’ni içeriyordu.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
