De Amerikaanse stad Columbus heeft een klokkenluider aangeklaagd die door ransomware gestolen data deelde, om zo te laten zien dat de burgemeester niet de waarheid sprak over de impact van de aanval (pdf). Columbus werd afgelopen juli het slachtoffer van een ransomware-aanval, waarbij de aanvallers claimden 6,5 terabyte aan data te hebben buitgemaakt.

Volgens burgemeester Andrew Ginther was er geen risico voor personeel, omdat de gestolen data was versleuteld of gecorrumpeerd geraakt en daar 'onbruikbaar'. Ook zou er veel minder data zijn gestolen dan de aanvallers claimden. Kort na deze uitspraken benaderde beveiligingsonderzoeker David Leroy Ross verschillende nieuwsmedia waarin hij liet zien dat de door de ransomwaregroep gestolen data gewoon intact was en zeer gevoelige informatie over stadsmedewerkers en inwoners bevatte.

Zo toonde hij screenshots dat de ransomwaregroep namen had gepubliceerd van personen betrokken bij huiselijk geweld, alsmede social-securitynummers van politieagenten en slachtoffers. Vorige week klaagde de stad de klokkenluider aan voor vermeende schade door criminele daden, inbreuk op de privacy, nalatigheid en 'civil conversion'. Volgens de aanklacht heeft de klokkenluider door het downloaden van de bestanden interactie met de ransomwaregroep gehad en vereist dit speciale expertise en tools.

Dezelfde dag van de aanklacht kreeg de klokkenluider ook een 'temporary restraining order' door de rechter opgelegd. De onderzoeker mag geen bestanden meer downloaden en verspreiden die de ransomwaregroep op de eigen website aanbiedt. "Dit gaat niet over de vrijheid van meningsuiting of klokkenluiden. Het gaat over het downloaden en verspreiden van gestolen documenten", aldus procureur-generaal Zach Klein.

De expertise die in de aanklacht wordt genoemd bestaat in de praktijk vaak uit het installeren van alleen Tor Browser en het invoeren van een url. Volgens de Amerikaanse burgerrechtenbeweging EFF schendt de stad met de rechtszaak het eerste amendement van de klokkenluider. "Het lijkt erop dat de stad de schuld probeert af te schuiven, van het feit dat deze data rondslingert doordat het zelf heeft gefaald in het beveiligen ervan, op een expert die het publiek wil informeren", aldus een advocaat. De klokkenluider laat tegenover The Dispatch weten dat het stadsbestuur voor de eigen incompetentie een zondebok zoekt.