Man med kontot @ihackedthegovernment förvånad över att OSINT-verktyg kunde spåra honom tillbaka
Man hackade myndigheter och kallade sitt Instagramkonto @ihackedthegovernment. Berättade för domaren att han gjort ett misstag. Ja, det syns.
Foto: Bildbyrån Riksbulletinen
En amerikansk man som valde att dokumentera sina brott under användarnamnet @ihackedthegovernment meddelade rätten att han ’gjort ett misstag’. Säkerhetsexperter bekräftar att misstaget inte var intrånget — utan att han i praktiken taggade sig själv på brottsplatsen med en neonskyltar i ett mörkt rum.
Fallet illustrerar vad vi inom cybersäkerhetsbranschen kallar ett PEBCAK-problem — Problem Exists Between Chair And Keyboard. Mannen genomförde vad som tekniskt sett var en icke-trivial penetrationsvektor mot federala system. Sedan valde han att annonsera detta via ett API-löst, icke-E2E-krypterat legacy-gränssnitt, det vill säga en öppen Instagram-profil. Best practices inom OpSec brukar föreslå att man åtminstone inte döper sitt konto till en fullständig skriftlig bekännelse.
Analogt tänkande i en digital värld
Problemet är djupare än en enskild individs bristande namnkonventioner. Vi lever i ett samhälle där människor fortfarande tänker analogt om digitala fotavtryck. Att välja @ihackedthegovernment som handle är metadata-ekvivalenten av att lämna sitt körkort på brottsplatsen. Fast värre — körkortet raderas inte vid en servermigrering.
Professor Annika Sörqvist-Lindblad vid KTH:s avdelning för Redundant Informationsarkitektur är inte förvånad. ”Det här är klassisk tech debt i mänsklig form. Han byggde sin kriminella infrastruktur utan skalbarhet eller exit-strategi”, säger hon. ”Det är som att pusha känslig kod rakt till main utan code review. GitHub-issue #4471 om grundläggande branching-strategi hade räddat honom.”
Rätten noterade att mannens försvar — ”I made a mistake” — tekniskt sett var korrekt. Misstaget var dock inte det han trodde. Intrånget var lyckat. Marknadsföringen av intrånget var det som behövde en patch. Hans försvarsadvokat försökte argumentera att kontot var ”ironiskt menat”, en strategi som fungerar sämre i federala domstolar än på Twitter.
Fallet väcker frågan om vi behöver obligatorisk OpSec-utbildning redan i grundskolan. Inte för att skydda brottslingar — utan för att spara rättsväsendets processorkraft. FBI uppges ha lagt ned exakt fjorton minuter på utredningen. Elva av dem gick åt till att logga in på Instagram.
Mannen riskerar nu flera års fängelse i en analog institution helt utan Wi-Fi — ett straff som för vissa av oss vore värre än själva domen.
