上周,一名入侵任天堂服务器的加州男子对其指控供认不讳,正在等待判决。该青年男子曾两次入侵任天堂,并泄露了该公司尚未发布的Switch游戏机相关数据。
该男子名为Ryan Hernandez,但在网上被称为RyanRocks或Ryan West,在泄露了任天堂即将推出的产品Switch游戏机的详细信息后,2016年在网上为人所知。尽管当时被追查并获得了原谅,然而,Hernandez浪费了这一机会,现在几乎可以肯定要入狱了。
Hernandez的入侵攻击发生在2016年10月。根据ZDNet获得的法院文件,Hernandez通过在公司的官方论坛上发布恶意链接,对任天堂的一名员工开展网络钓鱼,要求提供技术问题的帮助。美国当局表示,该链接将任天堂员工转到外部网站,技术支持人员被恶意软件感染。
根据法院文件,该恶意软件“秘密抓取了员工的信息和身份验证令牌”,Hernandez后来用它来访问任天堂的内部网络。
然后,Hernandez使用他新获取的权限“将恶意软件上传到任天堂开发人员网站,该站点记录了合法用户登录到该站点的令牌,随后获得管理员对任天堂开发人员网站的访问”。
法院文件说,此时,Hernandez着手“下载专有的任天堂数据”,其中包括有关即将推出的任天堂Switch游戏机的预发布信息。
然后,在任天堂Switch于2017年3月正式发布之前,Hernandez继续在网上泄漏Switch的信息。
当时,任天堂向FBI报告了该安全漏洞,FBI将该黑客事件追溯到Hernandez在加利福尼亚Palmdale的家中。
FBI调查员于2017年10月拜访了Hernandez及其父母。由于当时Hernandez只有17岁,调查员没有惩罚这名少年,因为他“承诺停止对任天堂的任何进一步恶意活动,并确认他明白未来黑客入侵要付出的代价。”
然而,Hernandez没有履行诺言,或者至少没有长期履行诺言。根据他的认罪协议,这名少年在2018年6月再次入侵任天堂。他利用任天堂服务器中的漏洞,从后端系统下载其他机密信息,对后端系统进行了访问。以下是引用认罪协议的内容:
“例如,Hernandez所针对的一个服务器组与任天堂 eShop的登台环境有关,该环境用于生产前的测试。2018年6月,Hernandez未经授权,没有合法证书就访问了服务器,并请求下载预发布的信息和数据,包括与零售业权有关的开发工具和文件。
“类似情况之后就频频发生,从2018年6月开始,Hernandez使用从先前感染的登台环境服务器组中提取的应用程序获得了非法证书,并访问了设备身份验证服务器组。从2018年7月开始,Hernandez访问了管理任天堂零售点信息的服务器组,包括广告材料和游戏演示。”
在两年前, Hernandez并未对入侵行为保密,而是开始在Twitter和Discord网络平台上泄露窃取的任天堂文件。
此外,Hernandez还经营自己的Discord频道,名为“Ryan’s Underground Hangout”,在那里他经常泄漏黑客窃取的文件,并与其他人共享有关任天堂服务器漏洞的信息。
就像2016年一样,任天堂再次发现了这些黑客并向当局投诉。但是,这一次,联邦调查局探员并没有敲门与这名少年的父母会面。这次他们直接带来了逮捕和搜查令。Hernandez于2019年6月19日被捕,搜查了他的房屋,并没收了设备。
美国调查人员说,在搜查被扣押的设备时,他们发现了一个名为“Bad stuff”的文件夹,其中包含669张照片和968张录像带,内容多为未成年人的性行为活动。
随后, Hernandez以藏有儿童色情制品的罪名被指控。
上周,今年21岁的嫌疑人Hernandez对两项指控表示认罪。因此,检察官同意对黑客入侵和持有儿童色情制品两项指控判处三年以下的徒刑。
然而,美国司法部认为该案的最终判决取决于法官,法官可以无视辩诉交易,并根据黑客入侵指控判处5年以上的监禁,根据藏有儿童色情制品的指控判处20年以上的监禁。
Hernandez的宣判听证会定于2020年4月21日举行。作为认罪协议的一部分,他已同意向任天堂支付259,323美元的赔偿金,以弥补其两次入侵攻击所造成的修复损失。
*参考来源:ZDNet,Sandra1432编译,转载请注明来自FreeBuf.COM