Der Reuters-Journalist Matthew Keys ist am Mittwoch, den 7. Oktober, unter dem Computer Fraud & Abuse Act (CFAA) verurteilt worden. Die Jury in Sacramento sprach ihn in allen drei Anklagepunkten für schuldig: Verschwörung zur Schädigung eines geschützten Computersystems, Übertragung bösartigen Codes und versuchte Übertragung bösartigen Codes. Die Höchststrafe beträgt 25 Jahre, Keys stehen wohl etwa fünf Jahre bevor.

Der Journalist soll 2010 in einem Anonymous-Chatroom die Zugangsdaten für die Webseite der Los Angeles Times veröffentlicht und dazu aufgerufen haben, dort Schaden anzurichten. Auf der Seite wurden daraufhin in einem Artikel Überschrift, Teaser und Autor ausgetauscht, nach 40 Minuten konnten die Seitenbetreiber den Schaden beheben – in diesen 40 Minuten soll jedoch ein Schaden von knapp einer Million Dollar entstanden sein. Gegenüber Sarah Jeong sagte Keys nach dem Verfahren:

The government wanted to send a clear message that if you want to cover a group they don’t agree with, and you’re not complicit with them [the government], they will target you.

Die Anschuldigungen gründen sich auf Aussagen des LulzSec-Hackers Sabu, der als Informant für das FBI tätig war. Keys hatte die Vorwürfe in einer Vernehmung durch die Polizei zugegeben, versuchte dies aber später zurückzunehmen da er zum Zeitpunkt der Vernehmung Antidepressiva genommen habe und daher nicht ‚bei Sinnen’ gewesen sei. 2014 entschied eine Richterin jedoch, dass die Medikamente keine Auswirkung auf Keys Urteilsvermögen hatten.

Edward Snowden wies gestern auf die Unverhältnismäßigkeit der voraussichtlichen Strafe hin, Sarah Jeong schrieb dass die Anklage nicht einmal beweisen konnte, dass in den relevanten 40 Minuten überhaupt ein Leser die Änderungen gesehen hat. Der Fall Keys befeuert zudem die Kritik am Computer Fraud and Abuse Act, aufgrund dessen auch gegen Aaron Swartz ermittelt wurde. David Segal von Demand Progress hält eine Höchststrafe von einem Vierteljahrhundert für völlig unabgebracht:

It’s idiomatic that the punishment is supposed to fit the crime, yet the Computer Fraud and Abuse Act’s penalty scheme remains divorced from the severities of the behaviors it’s been wielded against. Today’s conviction of Matthew Keys is yet more evidence that this needs to be fixed. With much bluster, the Department of Justice has pointed to the absurd statutory maximal penalty for somebody in Keys’s shoes: 25 years for enabling a harm that entailed changing the words on a website for all of an hour. So we are witness to yet another abuse of a law that’s used to police online behavior even though it was written in 1986 — years before the World Wide Web was invented.

Das Urteil soll am 20. Januar 2016 verkündet werden, Keys Anwalt kündigte bereits an in Berufung gehen zu wollen.

Update, 14. Oktober:

Mike Masnick von Techdirt hat sich nochmal detaillierter mit dem behaupteten Schaden von mehr als 900.000 Dollar beschäftigt. Die Tribune Media Company, deren Tochtergesellschaft die betroffene Los Angeles Times ist, habe den Schaden anfangs mit nur 3.500 Dollar beziffert. Damit der CFAA angewendet werden kann, ist ein Schaden von mindestens 5.000 Dollar notwendig. Die finalen Summen variieren dann etwas – drei Mails kosten da auch mal 6.000 Dollar. Zudem wurden auch Punkte verrechnet, die nichts mit der vorgeworfenen Tat zu tun haben, etwa Mailverkehr mit Keys nachdem dieser nicht mehr für die Tribune Company arbeitete.

Again, assuming Keys actually did all these things, it would make him something of an immature jerk. But it still seems like a huge stretch to turn that into nearly a million dollars in damages, directly due to a CFAA violation. Either way, it’s yet another reminder that when the DOJ decides it wants to take you down, it can find almost anything to use against you.