Haker szantażuje niepokornych prokuratorów na Twitterze. Ujawnia ich wrażliwe dane

„Później dokumenty wylądują w zaszyfrowanym kontenerze, który zacznie latać po Internecie albo trafi do odpowiednich organów” – informuje użytkownik. Sprawę zgłoszono prokuraturze, mimo to we wtorek wieczorem konto nadal było aktywne. Twitter zablokował tylko kilka jego wpisów.

Użytkownik prawdopodobnie zhakował prywatne maile prokuratorek, aktywnie działających w Stowarzyszeniu Lex Super Omnia. To organizacja krytykująca obecne władze za wprowadzane przez nie zmiany w wymiarze sprawiedliwości.

Włamanie potwierdził we wtorek wieczorem Krzysztof Parchimowicz, szef Stowarzyszenia Lex Super Omnia, na swoim koncie na FB. „Niestety takie zdarzenie miało miejsce. Dotyczy prokuratorów z LSO, którzy są aktywni na Twitterze. Oczywiście zabezpieczamy się. Niemniej przestępstwo zostało.już dokonane".

Jednak aktywność hakera przynajmniej na razie nie wygląda na motywowaną politycznie, raczej – na czyjąś prywatną zemstę. W jednym z tweetów zapewnia on: „nie jestem żadnym trollem/najemnikiem z MS. Nie reprezentuję żadnego frontu politycznego, ale fajnie jest posiąść wiedzę, z jak zdemoralizowanym towarzystwem mam do czynienia – karierowicze i narcyzy kreujący się na mężów stanu.”

Właściciel konta nie dba o szerokie rozpowszechnienie swoich informacji. Chce, by dotarły one przede wszystkim do zainteresowanych – i to ich oznacza w swoich tweetach. Pod większością wpisów nie ma zresztą żadnych reakcji. Nie publikujemy nazwy tego konta, by nie zwiększać mu zasięgu. Tym razem jest to szczególnie istotne, ponieważ na koncie publikowane są dane wrażliwe.

Prywatne zdjęcia, skan dowodu osobistego

Konto zostało założone 5 grudnia. W pierwszych tweetach haker opublikował prywatne zdjęcia jednej z pań prokurator. Nie zawierają nic wstydliwego, ale widać, że pochodzą z prywatnego archiwum: to fotografie z wakacji, zdjęcia z partnerem, są też krótkie nagrania.

Potem na koncie pojawiły się screeny z jej skrzynki mailowej, dotyczące np. jej sytuacji finansowej, stanu konta w banku itp. Elektroniczne listy pokazano ze wszystkimi danymi, także z adresami mailowymi osób, do których je wysłano.

6 grudnia na koncie opublikowano skan dowodu osobistego pani prokurator – z obu stron, bez anonimizacji danych osobowych. Jest widoczny adres, numer PESEL, numer dowodu.

Od 7 grudnia haker zmienił nieco metodę działania. Już nie skupiał się tylko na jednej prawniczce, zaczął atakować więcej osób oraz publikować tweety z kontekstem politycznym.

Poinformował choćby o tym, że „Towarzystwo z Lex Super Omnia w swoim kręgu nadzoruje nawet sprawy awansów ludzi »dobrej zmiany« wraz z ich działalnością. W prywatnych wiadomościach, mailach opisują okoliczności awansów, komentują, szczują. Wymieniają się nawzajem inf. nt. awansów”.

Pod spodem opublikował jeden ze zhakowanych maili, który dotyczy postępowania przygotowawczego we wrocławskiej prokuraturze w sprawie przeciwko działaczce wrocławskiego ONR-u o nawoływanie do nienawiści wobec imigrantów. Nie wiadomo, czy mail pochodzi z prywatnej skrzynki pocztowej któregoś z prokuratorów, czy może ze służbowej.

8 grudnia haker pokazał screen czyjejś skrzynki pocztowej, otwieranej za pomocą konta Google. Na screenie widać folder plików na temat działań „dobrej zmiany”. Zapowiedział przy tym, że w następnym tygodniu ujawni screeny z grupy dyskusyjnej prokuratorów, założonej na Google, oraz zdjęcia z ich spotkań. Opublikował także numery telefonów komórkowych do dwójki prawników.

Następny dzień to kolejne prywatne dokumenty. Jest wśród nich zeznanie podatkowe jednej z prawniczek. Faktura, którą przesłano jej mailem. Umowa z firmą, w której wykupiła pakiet medyczny.

Wszystkie te dokumenty publikowane są oczywiście z pełnymi danymi osobowymi. „Historię choroby, badania etc. zostawię sobie – to byłaby przesada” – informuje haker. Na koncie pojawił się też dokument z decyzją Prokuratora Generalnego, dotyczącą spraw zawodowych kolejnej prokuratorki.

Haker: to dopiero początek

10 grudnia haker opublikował dziewięć stron wniosku pochodzącego z Prokuratury Regionalnej w Łodzi, a adresowanego do Sądu Dyscyplinarnego dla Prokuratorów przy Prokuraturze Generalnym w Warszawie.

Chodzi o sprawę dyscyplinarną jednej z prokuratorek aktywnie działających w Stowarzyszeniu Lex Super Omnia. Sprawa jest czysto polityczna. Czy to przypadek, że akurat taki dokument pojawił się na koncie, czy też wątek polityczny nie jest tu przypadkowy?

Haker nie informuje na Twitterze, czego oczekuje od prokuratorów. Pisze jedynie, że zaprasza do kontaktu „zanim wycieknie cała zawartość tych maili/dokumentów”. To, co pokazuje na platformie społecznościowej, jest – jak zapowiada – jedynie wstępem do tego, co zostanie ujawnione w sieci, jeśli prokuratorzy nie skontaktują się z nim do 12 grudnia, czyli do najbliższego czwartku.

Trudno ocenić, do ilu skrzynek mailowych włamał się właściciel konta. Dokumenty prywatne wskazują na dostęp do maili co najmniej trzech prokuratorek. Dokumenty służbowe natomiast dotyczą bardzo różnych osób – być może przez czyjś dysk Google haker dotarł do tego rodzaju danych. W niektórych tweetach podał on też adresy mailowe kolejnych prokuratorów sugerując, że to do nich włamie się w następnej kolejności.

Z analizy dokumentów wynika, że publikowane screeny prezentują prawdziwe, a nie podrabiane dokumenty i dane. Potwierdzają to także komentarze prokuratorów na Twitterze.

Na TT wspiera go radykalny prawicowiec

Konto hakera ma zaledwie 170 obserwujących, a wśród nich wiele anonimowych użytkowników. Według opisu właściciela konto jest zlokalizowane w USA. Podał on nawet swego maila, ale to adres z serwisu Protonmail, oferującego szyfrowane usługi poczty elektronicznej.

Można przypuszczać, że użytkownik korzysta z sieci za pomocą technik (np. VPN) uniemożliwiających identyfikację za pomocą adresu IP. W takiej sytuacji zidentyfikowanie tożsamości hakera nawet przez organy ścigania może być bardzo trudne, jeśli nie niemożliwe.

Co prawda w nazwie konta użytkownik podał imię i nazwisko, i jest ono znane w polskiej sieci – tak samo nazywa się pierwszy patostreamer (lub pierwszy troll) w Polsce, bardzo popularny w internecie kilka lat temu. Trudno jednak ocenić, czy to rzeczywiście on stoi za hakerskim kontem, czy też ktoś się pod niego podszywa (a podszywających się pod tego gwiazdora sieci było i jest wielu).

Pojedyncze reakcje pod tweetami pozwalają natomiast łatwo określić, kto rozpowszechnia hakerskie treści. To tylko jedno konto, także anonimowe, ale istniejące od 2011 roku, z nieco większą liczbą obserwujących.

Rozpowszechnia treści antysemickie, antyukraińskie, radykalnie prawicowe, często wspiera Konfederację, niektóre jego tweety mogą wskazywać na związki właściciela konta z polskimi służbami (choć niekoniecznie obecnymi, powiązania mogą dotyczyć lat wcześniejszych).

Tweety hakera rozchodzą się dziś w sieci w zasadzie tylko za jego pośrednictwem. Nie wiadomo jednak, czy te dwa konta są ze sobą powiązane, czy też skrajny prawicowiec rozpowszechnia treści hakerskie, bo po prostu uznał je za ciekawe.

Drugie @KastaWatch?

Aktywność konta atakującego prokuratorów w pewnym stopniu przypomina działanie konta @KastaWatch, które atakuje sędziów. Tam także udostępniano niepubliczne dokumenty dotyczące sędziów, którzy krytykują polskie władze za reformy w sądownictwie.

Jednak bardzo wyraźne są różnice między tymi dwoma kontami. Kasta Watch publikowało tylko dokumenty służbowe i nie pochodziły one ze skrzynek mailowych, lecz z zasobów instytucji wymiaru sprawiedliwości. Można było mówić o wycieku danych albo z Ministerstwa Sprawiedliwości, albo z powiązanych z nim instytucji. Teraz mamy do czynienia z działaniem typowego hakera, który nielegalnie włamał się do prywatnych maili prokuratorów, a teraz ujawnia znalezione w nich informacje.

Szantażowani prokuratorzy złożyli już oficjalne zawiadomienie w prokuraturze w tej sprawie. Będziemy informować Państwa o rozwoju sytuacji.