El hombre que hackeó la aerolínea y touroperador Jet2 ha sido encarcelado durante cinco meses después de que se presentó ante el personal de un hotel de Benidorm como director de la compañía, fue disciplinado, y más tarde se embarcó en una ola de borrado de datos en los servidores del touroperador JET2.
Scott Burns, de Queen Street, Morley, Leeds, se declaró culpable de ocho delitos en virtud de la Ley de Uso Indebido de Computadoras de 1990.
La fiscal de la Corona Rebecca Austin le dijo a la Corte 5, de la Corte de la Corona de Leeds: «Este es un caso que involucra a un ex-empleado descontento.»
En 2017 Burns trabajaba para Blue Chip Data Systems en su cuenta Jet2. Fue enviado a Benidorm para proporcionar cobertura de TI para un famtrip de la compañía en un famoso hotel de Benidorm. Los fiscales de la Corona dijeron en una nota leída por el juez que Burns «dos veces trató de meter a un huésped que no estaba registrado» al hotel en el que se hospedaba.
Se dijo que uno de los huéspedes «reaccionó violentamente» cuando se le negó la entrada, rompiendo el teléfono de un hotel. Se dice que Burns mintió al conserje al decir que era director de Jet2 y exigió que se permitiera la entrada a su huésped. Más tarde fue disciplinado por esto y se le prohibió viajar al extranjero con Jet2.
Austin dijo: «Ese parece ser el motivo que causó que el Sr. Burns tuviera rencor hacia la compañía.»
Este hombre de 27 años, que anteriormente era director de proyectos de TI y trabajaba para Blue Chip Data Systems, se dirigió a los sistemas de Dart Group plc, el holding propietario de Jet2, la empresa de viajes combinados Jet2holidays y el negocio de logística Fowler Welch Coolchain.
Utilizó dos ordenadores, una con su propio nombre como identidad de red del ordenador y otra del Pure Data Group, el empleador de Burns después de dejar Blue Chip. Mediante el uso de una cuenta de servicio de impresora en el dominio de red interna Jet2 – denominada «Jet2 MFP» – Burns pudo abrir una sesión de escritorio remoto en la red de Jet2 a principios de enero de 2018, a pesar de haber dejado de trabajar en su cuenta el pasado mes de diciembre.
Habiendo descubierto que podía entrar en la red de Jet2, un par de semanas más tarde (el 18 de enero de 2018) Burns volvió a entrar en ella. El personal de Jet2 inmediatamente «comenzó a experimentar dificultades técnicas», como dijo Austin.
«La causa de los problemas se descubrió poco después, cuando se descubrió que la carpeta que almacenaba todas las cuentas de usuario de la red había sido eliminada», dijo Austin. Burns había borrado todas las cuentas del dominio Jet2, incluyendo todas las cuentas de administrador de dominio.
Excepto una, Jeramy Eling, una empleada de TI, «fue capaz de crear un nuevo perfil con derechos administrativos para escapar de la detección» por Burns, dijo Austin a la corte. Sin esa cuenta administrativa, el tribunal afirmó que «reparar los daños no era posible».
Gracias a la eliminación selectiva de las cuentas de usuario de todo el dominio, los investigadores sospecharon inmediatamente de un trabajo interno. El rastreo de los registros de la red reveló que una cuenta denominada Nessus_scan había iniciado sesión a las 14:37 y cerrado la sesión a las 14:50. La cuenta de la MFP Jet2 se conectó a las 1439 horas y se desconectó a las 1448 horas.
«Si no hubiera tenido ese conocimiento previo de la red, no podría haber causado la devastación tan rápido como lo hizo», dijo Austin. «Hay una estimación en relación a la pérdida de ingresos del negocio, de unas 165.000 libras esterlinas.»
Burns también borró los registros en un intento de cubrir sus huellas, así como utilizar su acceso ilícito para acceder a la dirección de correo electrónico personal de Steve Heapy, CEO de Dart Group. Sin embargo, no tuvo éxito: «La policía pudo rastrear, usando la dirección IP, una cuenta de Virgin Media a nombre del Sr. Burns. Y en la dirección de su casa», dijo Austin. Burns también usó una cuenta con una dirección IP que se resolvió con el padre de su entonces socio. Su relación con su pareja «se rompió» una vez que Burns fue acusado.
Michael Walsh, el abogado de Burns, dijo: «Él, en conversaciones con el servicio de libertad condicional, se refirió a su curiosidad y y también se refiere al hecho de que cuando cometió el delito principal aquí, estaba bajo la influencia del alcohol.»
Al dictar sentencia, Su Señoría el Juez Andrew Stubbs QC dijo: «Lo que intentabas hacer era causar el mayor daño posible a los sistemas informáticos de Jet2.»
«Parece claro que tienes la culpa. Este fue un acto deliberado con un alto nivel de sofisticación y planificación. El daño que causaste, si no fuera por las medidas inmediatas de los empleados de Jet2, esto habría sido desastroso y habría provocado la caída de sus sistemas informáticos».
«Este fue un ataque de venganza por un desaire que sufriste de la mano de la compañía que te contrató…. Sería inapropiado reducir la sentencia para ti debido al grave daño que pretendías causar.»
Burns fue sentenciado a 10 meses de prisión por su crimen bajo la sección 3 de la Ley de Uso Indebido de Computadoras de 1990. Por los otros siete cargos presentados en virtud del artículo 1, el juez lo condenó a seis meses de prisión concurrente. De los 10 meses, Burns pasará la mitad en la cárcel y la otra mitad fuera de ella con licencia en la comunidad.
No existen directrices específicas para la imposición de sentencias por delitos de la Ley de Uso Indebido de Computadoras. HHJ Stubbs dijo que se refería a las directrices genéricas, así como a la analogía más cercana, las directrices para los delitos de daño criminal, al formular su sentencia.
Se ordenó la incautación del portátil de Burns y su destrucción tras una petición infructuosa de que se lo limpiara y se lo devolviera.
El acusado fue encerrado de forma provisional hasta su sentencia. Con un traje oscuro con corbata azul y zapatos marrones, cerró los ojos cuando se hizo evidente durante el resumen del juez que iba a ir a la cárcel. Dos mujeres que lo acompañaron a la corte trataron de llamar su atención mientras lo llevaban a pasar la Navidad y el Año Nuevo entre rejas. Una aventura que empezó como una mala noche de fiesta en Benidorm …