Seorang hakim di Ohio telah mengeluarkan perintah penahanan sementara terhadap seorang peneliti keamanan yang memberikan bukti bahwa serangan ransomware baru-baru ini terhadap kota Columbus telah mengumpulkan banyak sekali informasi pribadi yang sensitif, yang bertentangan dengan klaim yang dibuat oleh pejabat kota.
Perintah tersebut, yang dikeluarkan oleh hakim di Franklin County, Ohio, dikeluarkan setelah kota Columbus menjadi korban serangan ransomware pada tanggal 18 Juli yang mencuri 6,5 terabyte data kota tersebut. Sebuah kelompok ransomware yang dikenal sebagai Rhysida mengaku bertanggung jawab atas serangan tersebut dan menawarkan untuk melelang data tersebut dengan tawaran awal sekitar $1,7 juta dalam bentuk bitcoin. Pada tanggal 8 Agustus, setelah lelang tersebut gagal menemukan penawar, Rhysida merilis apa yang disebutnya sebagai sekitar 45 persen dari data yang dicuri di situs web gelap kelompok tersebut, yang dapat diakses oleh siapa saja yang memiliki peramban TOR.
Web gelap tidak tersedia untuk umum—benarkah?
Wali Kota Columbus Andrew Ginther mengatakan pada tanggal 13 Agustus bahwa “terobosan” dalam investigasi forensik kota terhadap pelanggaran tersebut menemukan bahwa berkas-berkas sensitif yang diperoleh Rhysida dienkripsi atau rusak, sehingga “tidak dapat digunakan” oleh para pencuri. Ginther melanjutkan dengan mengatakan bahwa kurangnya integritas data kemungkinan menjadi alasan kelompok ransomware tersebut tidak dapat melelang data tersebut.
Tak lama setelah Ginther menyampaikan pernyataannya, peneliti keamanan David Leroy Ross menghubungi kantor berita setempat dan memberikan bukti yang menunjukkan bahwa data yang dipublikasikan Rhysida sepenuhnya utuh dan berisi informasi yang sangat sensitif mengenai pegawai dan penduduk kota. Ross, yang menggunakan alias Connor Goodwolf, memberikan tangkapan layar dan data lain yang menunjukkan bahwa berkas yang diunggah Rhysida memuat nama-nama dari kasus kekerasan dalam rumah tangga dan nomor Jaminan Sosial untuk petugas polisi dan korban kejahatan. Beberapa data mencakup rentang waktu bertahun-tahun.
Pada hari Kamis, kota Columbus menggugat Ross atas dugaan ganti rugi atas tindakan kriminal, pelanggaran privasi, kelalaian, dan konversi sipil. Gugatan tersebut mengklaim bahwa mengunduh dokumen dari situs web gelap yang dijalankan oleh penyerang ransomware berarti dia “berinteraksi” dengan dokumen tersebut dan memerlukan keahlian dan alat khusus. Gugatan tersebut selanjutnya menantang Ross untuk memberi tahu wartawan tentang informasi tersebut, yang menurutnya tidak akan mudah diperoleh oleh orang lain.
“Hanya individu yang bersedia menjelajahi dan berinteraksi dengan unsur kriminal di web gelap, yang juga memiliki keahlian komputer dan alat yang diperlukan untuk mengunduh data dari web gelap, yang dapat melakukannya,” tulis pengacara kota. “Data yang diunggah di web gelap tidak tersedia untuk konsumsi publik. Terdakwa membuatnya demikian.”
Pada hari yang sama, hakim Franklin County mengabulkan mosi kota untuk perintah penahanan sementara terhadap Ross. Perintah tersebut melarang peneliti tersebut “mengakses, dan/atau mengunduh, dan/atau menyebarluaskan” berkas kota apa pun yang diunggah ke web gelap. Mosi tersebut diajukan dan dikabulkan “ex parte,” artinya secara rahasia sebelum Ross diberi tahu atau berkesempatan untuk menyampaikan kasusnya.
Dalam konferensi pers hari Kamis, Jaksa Kota Columbus Zach Klein membela keputusannya untuk menuntut Ross dan mendapatkan perintah penahanan.
“Ini bukan tentang kebebasan berbicara atau pengungkapan pelanggaran,” katanya. “Ini tentang pengunduhan dan pengungkapan catatan investigasi kriminal yang dicuri. Efeknya adalah untuk mendapatkan [Ross] untuk berhenti mengunduh dan mengungkapkan catatan kriminal yang dicuri demi melindungi keselamatan publik.”
Kantor kejaksaan kota Columbus tidak menanggapi pertanyaan yang dikirim melalui email. Kantor tersebut memberikan pernyataan berikut:
Gugatan hukum yang diajukan oleh Kota Columbus berkaitan dengan data curian yang diunduh oleh Tn. Ross dari web gelap ke perangkat lokal miliknya dan disebarkan ke media. Faktanya, beberapa outlet menggunakan data curian yang diberikan oleh Ross untuk mendatangi rumah ke rumah dan menghubungi individu menggunakan nama dan alamat yang terdapat dalam data curian tersebut. Seperti yang telah dilaporkan secara luas, Tn. Ross juga menunjukkan kepada beberapa outlet berita data rahasia curian milik Kota yang menurutnya mengungkapkan identitas petugas polisi yang menyamar dan korban kejahatan serta bukti dari investigasi kriminal yang sedang berlangsung. Membagikan data curian ini mengancam keselamatan publik dan integritas investigasi. Perintah penahanan sementara yang diberikan oleh Pengadilan melarang Tn. Ross menyebarluaskan data curian milik Kota. Tn. Ross masih bebas berbicara tentang insiden dunia maya dan bahkan menjelaskan jenis data apa yang ada di web gelap—dia hanya tidak dapat menyebarluaskan data tersebut.
Upaya menghubungi Ross untuk meminta komentar tidak berhasil. Email yang dikirim ke kantor wali kota Columbus tidak dijawab.
Seperti yang ditunjukkan di atas dalam tangkapan layar situs web gelap Rhysida pada Jumat pagi, data sensitif tersebut tetap tersedia bagi siapa saja yang mencarinya. Perintah hari Jumat tersebut mungkin melarang Ross mengakses data atau menyebarkannya kepada wartawan, tetapi tidak berdampak pada mereka yang berencana menggunakan data tersebut untuk tujuan jahat.
