Подрядчик Siemens вымогал $2,5 млн, прикрываясь борьбой за прозрачность зарплат

27-летний Кэмерон Карри (Cameron Nicholas Curry, псевдоним Loot) признан виновным в вымогательстве. Федеральное жюри Западного округа Северной Каролины вынесло вердикт 18 марта 2026 года по шести пунктам обвинения. Карри работал контрактным аналитиком данных в Brightly Software (подразделение Siemens) и после отказа в продлении контракта украл зарплатные ведомости. Компания заплатила $2,5 млн в криптовалюте.

Brightly Software (ранее SchoolDude) разрабатывает облачные решения для управления инфраструктурой. Siemens купила компанию в 2022 году у Clearlake Capital за $1,6 млрд. Среди 12 000+ клиентов Brightly, школы, университеты и государственные учреждения США.

Карри имел доступ к зарплатным данным, кадровым документам и корпоративной отчётности. Шестимесячный контракт истекал 10 декабря 2023 года. Когда стало ясно, что контракт не продлят, Карри начал копировать документы. Копирование продолжалось с августа по декабрь 2023 года.

На следующий день после окончания контракта начались письма.

За 45 дней Карри отправил более 60 писем сотрудникам и руководству Brightly. Адрес отправителя, lootsoftware@outlook.com. Сумма, $2,5 млн в криптовалюте. К письмам прилагались снимки экрана с таблицами, содержащими имена сотрудников, даты рождения, домашние адреса и размеры вознаграждений.

Карри подавал вымогательство как борьбу за прозрачность зарплат. В письмах он выступал от лица вымышленной группы под своим псевдонимом Loot.

Loot и наши партнёры стремятся к тому, чтобы каждый получал справедливую оплату, обеспечивая сотрудникам рычаг влияния, которого они заслуживают, и при этом соблюдая федеральные нормы о защищённых действиях.

— из письма Карри (материалы обвинительного заключения)

Одному из юристов компании Карри написал, что тот не получит бонус, в отличие от большинства руководителей. Другим сотрудникам он обещал инструкции по подаче жалоб на дискриминацию в оплате труда через EEOC (Комиссию по равным возможностям трудоустройства) или коллективный иск.

Вторым рычагом давления стала Комиссия по ценным бумагам и биржам (SEC). Карри угрожал сообщить о нераскрытой утечке, ссылаясь на правила обязательного раскрытия инцидентов для публичных компаний, вступившие в силу в декабре 2023 года. 14 декабря 2023 года Brightly уведомила ФБР. Примерно через месяц компания выплатила $2,5 млн.

Если вы хотите вернуть свои данные, мы рекомендуем сделать это незамедлительно за $2,5 млн, чтобы спасти компанию и акции. Каждый последующий месяц стоимость будет расти на $100 тыс. Расхождения в вашей бухгалтерии уже превышают $16 млн.

— из письма Карри

ФБР вычислило Карри по серии промахов. Для получения выкупа он открыл новый счёт на Coinbase, привязав к нему собственные данные. Две дебетовые карты на счету принадлежали его матери и сестре. Метаданные переписки, регистрация адреса lootsoftware@outlook.com и данные криптовалютного кошелька указали на одного человека.

24 января 2024 года агенты ФБР прибыли с ордером на обыск в квартиру Карри в Шарлотте. Карри отказался выходить и начал отправлять Brightly сообщения с угрозами опубликовать украденные данные в случае ареста. На изъятых устройствах нашли подтверждения работы под псевдонимом Loot.

Brightly Software пережила два инцидента безопасности за один год. В апреле 2023 года злоумышленники получили доступ к базе SchoolDude. Похищены почти 3 млн учётных записей клиентов, включая имена, адреса электронной почты, номера телефонов и пароли. По данным TechCrunch, пароли хранились в открытом виде. Вторжение обнаружили через восемь дней. Атака Карри никак не связана с апрельским инцидентом. Два независимых события за один год, одна компания.

Карри не использовал ни одной уязвимости и не установил ни одной вредоносной программы. Он копировал файлы, к которым имел легитимный доступ, а затем превратил регуляторные обязательства компании в оружие против неё самой. На этой же неделе Amazon зафиксировала аналогичную тактику у группировки Interlock, которая цитирует GDPR и HIPAA в записках с требованием выкупа.

Минюст США объявил о приговоре 19 марта 2026 года. Карри грозит до двух лет по каждому из шести пунктов обвинения, максимум 12 лет. Дата вынесения приговора не назначена. Brightly Software публичных заявлений по поводу вердикта не делала.

Организациям с контрактными сотрудниками стоит ограничивать доступ к кадровым и зарплатным данным по принципу минимальных привилегий. Учётные данные при непродлении контракта необходимо отзывать немедленно. Уход подрядчика, событие безопасности. Аудит обращений к данным за последние месяцы работы обязателен.