Un hacker din Cluj a fost condamnat în primă instanță pentru acces ilegal la sistemele informatice ale companiei Jerry’s Pizza. Fuleki Ioan a sustras și a alterat date confidențiale aparținând ROMANIAN FRANCHISE SYSTEMS SRL, firmă administrată de Dauteuil Gabriela, producând un prejudiciu de peste 126.000 de lei. Condamnat la o măsură educativă de asistare zilnică timp de șase luni, Fuleki Ioan contestă decizia Tribunalului Cluj, iar dosarul se află acum în apel la Curtea de Apel Cluj.
Hacker autodidact
Tribunalul Cluj l-a condamnat pe Fuleki Ioan, un hacker din Cluj, pentru acces ilegal la sistemele informatice ale companiei ROMANIAN FRANCHISE SYSTEMS SRL (Jerry’s Pizza), după ce, la începutul anului 2023, a pătruns neautorizat în aplicația de comenzi online a rețelei.
Procurorii DIICOT au arătat că între 1 și 4 ianuarie 2023, Fuleki a deținut fără drept un program informatic de tip SQL Injection, pe care l-a folosit pentru a modifica datele aplicației și a copia baza de date cu informațiile clienților – nume, prenume, numere de telefon și adrese de email.
În fața judecătorilor, inculpatul a recunoscut faptele și a cerut să fie judecat potrivit procedurii simplificate, pe baza probelor administrate în cursul urmăririi penale.
Persoana vătămată în acest dosar este Dauteuil Gabriela, administratorul companiei ROMANIAN FRANCHISE SYSTEMS SRL. În anchetă au fost folosite inclusiv date puse la dispoziție de Bitdefender, compania fiind menționată printre sursele probelor informatice analizate de anchetatori.
Fuleki Ioan a încercat să vândă datele obţinute ilegal
Din analiza probelor administrate în cursul urmăririi penale a rezultat, în esență, aceeași stare de fapt cu cea menționată în rechizitoriu și recunoscută de inculpatul Fuleki Ioan în ședința publică din 11 iunie 2024.
La începutul lunii ianuarie 2023, în perioada 1–4 ianuarie, inculpatul a deținut, fără drept, un program informatic de tip cod malițios (SQL Injection), cu intenția de a comite infracțiuni informatice. În aceeași perioadă, acesta a accesat ilegal sistemele informatice ale companiei Jerry’s Pizza, a modificat datele din aplicația de comenzi online prin injectarea codului malițios și a obținut astfel acces neautorizat la sistemele informatice. Ulterior, a transferat fără drept baza de date a clienților, care conținea informații precum nume, prenume, numere de telefon și adrese de email.
Atacul informatic a fost lansat de pe mai multe adrese IP, printre care: 178.162.222.44 și 178.162.222.165, ambele aparținând companiei Leaseweb Deutschland GmbH și utilizate în 3 și 4 ianuarie; 37.120.206.51, asociată companiei M247 LTD Bucharest, folosită în 3 ianuarie; 95.211.95.26, atribuită Leaseweb Netherlands Infrastructure și utilizată în 4 ianuarie; 92.84.8.142, aparținând unei companii de comunicații din București, folosită în 1 ianuarie; și 185.59.221.226, asociată companiei CDN77.com din Marea Britanie, de asemenea folosită în 1 ianuarie.
Toate aceste date au reieșit din procesele-verbale de analiză a suportului optic depus de persoana vătămată odată cu plângerea penală. La data faptelor, adresa IP 92.84.8.142 era atribuită unui utilizator din locuința mamei inculpatului.
Un proces-verbal din 3 februarie 2023 a arătat că, pe site-ul https://bteached.vc, un utilizator cu aliasul „Azorian” a publicat, în data de 3 ianuarie, la ora 23:02, un anunț privind vânzarea bazei de date a Jerry’s Pizza. În postare, acesta și-a revendicat atacul informatic în numele unui grup numit „Azorian” și a oferit un ID qTox pentru contact. La ora 23:22, același utilizator a inițiat un sondaj pentru alegerea unei noi ținte, sugerând site-urile politiaromana.ro, diicot.ro și gov.ro.
Toate aceste aspecte au fost confirmate de raportul de investigare a incidentului de securitate, întocmit de o firmă IT specializată și transmis de Jerry’s Pizza. Constatările au fost susținute și de declarațiile directorului IT al companiei și ale reprezentantului legal, precum și de capturile de ecran ale unor conversații purtate în luna ianuarie 2023.
În urma percheziției informatice efectuate asupra computerului inculpatului, au fost descoperite fișiere ce conțineau programe și comenzi utilizabile în atacuri informatice. Printre acestea se aflau un fișier qTox, un fișier denumit „target.txt” cu instrucțiuni pentru atacuri SQL Injection, două arhive numite „jerrypizza.ro dump.zip” care conțineau fișiere text semnate cu aliasul „Azorian” și liste cu conturi de utilizatori.
Instanța a reținut că faptele comise de inculpat în perioada 1–4 ianuarie 2023 — respectiv deținerea fără drept a unui program informatic, accesarea ilegală a sistemelor Jerry’s Pizza, modificarea datelor informatice și transferul neautorizat al bazei de date — întruneau elementele mai multor infracțiuni informatice. Acestea au fost comise în concurs, iar instanța a avut în vedere circumstanțele legale în stabilirea pedepsei.
Cum a decis instanța să-l sancționeze pe inculpat
Atunci când a ales ce sancțiune să aplice, instanța a ținut cont de mai mulți factori: cum s-au petrecut faptele, cu ce mijloace, ce pericol au creat, ce urmări au avut, ce a urmărit inculpatul, cum s-a comportat după comiterea faptelor și în timpul procesului, dar și ce vârstă are, în ce stare de sănătate se află și în ce mediu a crescut.
Instanța a observat că inculpatul a încălcat mai multe reguli într-un interval foarte scurt, de doar câteva zile. În ceea ce privește viața sa personală, din evaluarea întocmită de Serviciul de Probațiune reiese că părinții lui au divorțat când avea doar nouă ani, iar tatăl s-a mutat în străinătate, contribuind doar ocazional la cheltuielile familiei. A fost crescut de mamă și bunică, ambele cu venituri modeste. Inculpatul s-a refugiat în domeniul informaticii încă de mic, fiind pasionat în special de securitate cibernetică. La școală a avut o conduită foarte bună, s-a implicat în activități de voluntariat, a avut relații bune cu colegii și profesorii și a învățat de unul singur lucruri avansate din domeniul IT. Faptele comise nu au avut un scop material, ci au fost motivate de dorința de a-și testa și demonstra abilitățile în fața comunității IT.
După comiterea faptelor, inculpatul a urmat mai mulți pași pozitivi. S-a autorizat ca persoană fizică în domeniul consultanței IT, a absolvit liceul și a obținut diploma de bacalaureat, precum și mai multe certificate de competență digitală. A început colaborarea cu două firme din domeniul tehnologiei. Instanța a apreciat și faptul că inculpatul a recunoscut faptele și a solicitat ca procesul să se desfășoare pe baza probelor deja administrate.
Judecătorii au considerat că inculpatul a acționat din imaturitate, fără să înțeleagă pe deplin consecințele legale ale faptelor sale. Ținând cont de eforturile de îndreptare și de riscul redus de recidivă, instanța a decis că nu se impune trimiterea lui într-un centru de detenție. Prin urmare, s-a aplicat o măsură educativă neprivativă de libertate, respectiv asistarea zilnică timp de șase luni, perioadă în care inculpatul trebuie să se prezinte periodic la Serviciul de Probațiune.
Instanța a dispus și confiscarea hard-disk-ului folosit la comiterea faptelor, întrucât acesta a fost un instrument al infracțiunii.
În ceea ce privește despăgubirile cerute, firma afectată de atacul informatic s-a constituit parte civilă și a solicitat daune. Instanța a constatat că a fost produs un prejudiciu și că firma a fost nevoită să apeleze la specialiști IT și la avocați pentru a remedia situația și pentru a preveni alte breșe de securitate. După analizarea documentelor, instanța l-a obligat pe inculpat să plătească mai multe sume: 8.947,80 lei pentru consultanță juridică, 61.352,67 lei pentru investigația IT privind breșa de securitate, 17.290,80 lei pentru găzduirea site-ului în lunile ianuarie și februarie 2023, 2.379,05 lei pentru restaurarea informațiilor pierdute și 36.046,83 lei pentru alte servicii juridice.
Instanța a respins însă plata altor sume cerute de firmă, întrucât nu au fost prezentate suficiente dovezi care să arate că acele cheltuieli aveau legătură directă cu faptele inculpatului sau cu perioada relevantă. În concluzie, cererea de despăgubiri a fost admisă parțial, iar Fuleki Ioan trebuie să plătească doar sumele care pot fi dovedite ca fiind în legătură directă cu incidentul de securitate provocat.
Citeşte şi:
Ăsta trebuie angajat profesor de info, că îi merge mintea!
Măcar acum îl poți încadra cu forța, că altfel tăt panarame expirate îs profesori de info
Cum PASTELE MA-SI sa plateasca hacerul „bresa de securitate” pe care un bou(vaca) o are? Ca esti PROST/ idiot/ habarnist/ antreprenor roman de succes/etc si iti curge scuipat din gura, te „fac” baietii de baza de date, si is ei de vina? Daca-ti pui portofelul in jebul dindarat, plin de bani, si te plimbi ca boul prin targ, inseamna ca cineva este de vina? De vina esti tu CA ESTI PROST, ZGRACIT, SI ANTRPRENOR DE SUCCES. Ala de te fura, e de vina doar pentru fapta, nu pentru ca esti tu PROST! Vorba unui criminalist celebru: daca umbli seara pe inserat pe tocuri cu fusta mini si cu ugerele la vedere prin fata caminului de nefamilisti de la CUG, cine-i „de vina” ca-ti capeti un viol?
„Îți curge scuipat din gură ”
De-aia sunt plătiți asa de bine ITistii, au multe date. Acum înțeleg și prețul locuințelor din Cluj!! Bravo lor, dacă nu interesează instituțiile competente??! Mai le plângeți de mila ca li se retine și impozitul pe venit..