Einen Tag nach dem Ende seines Vertrags am 10. Dezember begann Curry damit, mehr als 60 Erpressungs-E-Mails an Beschäftigte von Brightly zu versenden. Dafür nutzte er die Microsoft-Adresse lootsoftware@outlook.com und den Decknamen Loot. Er drohte, zwischen August und Dezember 2023 entwendete Daten zu veröffentlichen, falls die geforderten 2,5 Millionen Dollar ausblieben.
Den Nachrichten fügte Curry Screenshots von Tabellen bei, die personenbezogene Daten von Brightly-Mitarbeitern enthielten – darunter Namen, Geburtsdaten, Wohnadressen und Angaben zur Vergütung. Zusätzlich drohte er, das Unternehmen bei der US-Börsenaufsicht SEC zu melden, weil es den Vorfall nicht wie gesetzlich vorgeschrieben offengelegt habe.
“Wir werden ab dem 1. Januar 2024 schrittweise damit beginnen, die Gehaltsinformationen an alle Mitarbeiter zu verteilen, und Sie anschließend bei der SEC melden, weil Sie den Vorfall nicht angezeigt haben”, hieß es in einer der Erpressungsnachrichten. In einer weiteren forderte er eine rasche Zahlung: Jeder weitere Monat erhöhe die Summe um 100.000 Dollar, und Unstimmigkeiten in den Büchern beliefen sich bereits auf über 16 Millionen Dollar.
Nach den zahlreichen E-Mails zahlte Brightly 7.540 Dollar in Bitcoin, die auf eine von Curry kontrollierte Kryptowährungs-Wallet überwiesen wurden. Nachdem das Unternehmen den Vorfall gemeldet hatte, durchsuchte das FBI am 24. Januar Currys Wohnsitz und beschlagnahmte mehrere elektronische Geräte mit Beweismaterial.
Curry kam im Januar 2024 gegen Kaution frei. Ihm drohen nun bis zu zwölf Jahre Haft – verurteilt wurde er in sechs Anklagepunkten wegen des Übermittelns beziehungsweise vorsätzlichen Veranlassens zwischenstaatlicher Kommunikation mit der Absicht, ein Unternehmen zu erpressen.
Unabhängig von diesem Fall hatte Brightly seine Kunden bereits im Mai 2023 über eine Datenschutzverletzung informiert. Damals hatten Angreifer Zugriff auf die Datenbank der Online-Plattform SchoolDude erlangt und Zugangsdaten sowie persönliche Informationen wie Namen, E-Mail-Adressen, Kontopasswörter und Telefonnummern entwendet. Aus Unterlagen, die beim Generalstaatsanwalt von Maine eingereicht wurden, geht hervor, dass der Einbruch acht Tage nach der Kompromittierung der Systeme am 20. April entdeckt wurde und nahezu drei Millionen SchoolDude-Kunden und -Nutzer betraf.
