Verizon, sahte bir "arama emrine" kanıp mağdurun telefon verilerini bir takipçiye verdi
(arstechnica.com)- Operatörün kolluk kuvveti taleplerini işleme sürecindeki açık nedeniyle Verizon Wireless, polis kılığına giren birine mağdurun adresi ve arama kayıtlarını verdi
- Robert Michael Glauner, Proton Mail adresi ve sahte bir arama emriyle mağdur bilgilerini talep etti; Verizon ise polis karakolu ya da devlet kurumu alan adından gelmeyen talepleri ayıklayamadı
- Sahte belgede var olmayan Cary Polis Departmanı “Detective Steven Cooper” adı ve gerçek bir yargıcın sahte imzası yer aldı; ayrıca North Carolina arama emri için zorunlu olan AOC-CR-119 formu da yoktu
- Verizon 5 Ekim 2023’te bilgileri verdikten sonra Glauner, mağdurun ailesi ve iş yeriyle tekrar tekrar iletişime geçti ve mağdura tehdit mesajları gönderdi
- Hassas abone verileri tek bir sahte taleple sızdığında, çevrimiçi takip fiziksel tehdide dönüşebiliyor
Sahte kolluk kuvveti talebiyle sızdırılan Verizon abone bilgileri
- Verizon Wireless, polis gibi davranan Robert Michael Glauner’a kadın mağdurun adresi ve telefon kayıtlarını verdi
- Glauner daha sonra mağdurun yaşadığı yerin yakınında yakalandı ve üzerinde bıçak vardı
- Mağdurun adresini öğrendikten sonra New Mexico’dan North Carolina, Raleigh’e gittiği ortaya çıktı
- Varmadan önce mağdura “if I can’t have you no one can” şeklinde tehdit mesajı gönderdiği ve mağdurun çıplak fotoğraflarını ailesine yollamakla da tehdit ettiği iddia ediliyor
- Glauner, North Carolina Doğu Bölgesi Federal Mahkemesi’nde takip ve “gizli telefon kayıtlarını elde etmeyle ilgili” dolandırıcılık suçlamalarıyla itham edildi
- Olay daha önce 404 Media tarafından ele alındı
Çevrimiçi ilişkinin bitmesinden sonra süren temas
- Glauner ile mağdur 2023 Ağustos veya Eylül ayında, flört özelliği bulunan porno sitesi xhamster.com’da tanıştı ve çevrimiçi bir romantik ilişki yaşadı
- Mağdur ilişkiyi bitirdikten sonra da Glauner iletişim kurmayı sürdürdü ya da kurmaya çalıştı
- Verizon’a gönderilen talep, Verizon Security Assistance Team’in (VSAT) e-posta adresi olan
vsat.cct@one.verizon.comadresine iletildi - VSAT, yasal talepleri işleyen bir organizasyon ve Verizon’un internet sitesinde mahkeme kararları, arama emirleri, celpler gibi yasal taleplerin gizli biçimde işlendiği ve ilgili yasalara uyulduğu belirtiliyor
- Aynı sayfada VSAT’ın kayıt talepleri için yalnızca geçerli yasal talepler kabul ettiği de yazıyor
Sahte polis ve sahte arama emri
- 26 Eylül 2023’te
steven1966c@proton.meadresinden Verizon’a bir e-posta gönderildi- E-postada arama emri PDF’inin eklendiği, “şüpheliyi bulup tutuklamak için” cep telefonu verilerinin gerektiği yazıyordu
- Ayrıca mağdurun Verizon aboneliğindeki tam adı ve yeni atanmış telefon numarası da talep edildi
- Ekli belgede, Cary, North Carolina Polis Departmanı’ndan “Detective Steven Cooper” tarafından hazırlanmış gibi gösterilen sahte bir yeminli beyan vardı
- Cary Polis Departmanı, Steven Cooper adında bir memurun kurumda bulunmadığını doğruladı
- Aynı gün VSAT, kendisini Cooper olarak tanıtan bir erkekten telefon aldı
- Kişi, bir cinayet şüphelisine ilişkin bilgilere ihtiyaç duyduğunu söyledi
- İlgili kişinin telefon numarasını değiştirdiğini de belirtti
- Sahte beyanda yeni telefon numarası, gelen-giden arama kayıtları, konum bilgileri, gelen-giden kısa mesajlar talep ediliyordu
- Belgede arama emrinin Superior Court Judge Gale Adams tarafından onaylandığı izlenimi verildi
- Adams gerçek bir yargıç olsa da belgedeki imzanın kendisine ait olmadığını doğruladı
- Söz konusu “arama emri”, North Carolina eyaletindeki arama emirleri için gerekli AOC-CR-119 formunu da içermiyordu
Verizon’un verdiği veriler ve sonrasındaki ek talepler
- Verizon, “Cooper”dan gelen e-posta ve belgeleri inceledikten sonra 5 Ekim 2023’te mağdurun telefon kayıtlarını verdi
- Verilen kayıtlar arasında adres ve arama kayıtları bulunuyordu
- Verizon bu olayla ilgili sorulara hemen yanıt vermedi; şirket sözcüsü 404 Media’ya Verizon’un kolluk kuvvetleriyle iş birliği yaptığını söyledi
- 9 Ekim’de VSAT yeniden “Officer Cooper”dan bir telefon aldı
- Arayan kişi verilerin nasıl okunacağını sordu
- Kaydedilen konuşma içeriğine göre Glauner’ın Verizon Wireless’tan kayıt aldığı doğrulandı
- Arayan, abonenin telefon numarasını değiştirdiğini ve kendisinin yeni numarayı elde ettiğini söyledi
- O sırada Glauner’ın yeni telefon numarasını gerçekte elde edememiş olma ihtimali de bulunuyor
- VSAT daha sonra da mağdurun numarası ve başka bilgileri talep eden e-postalar almaya devam etti
- Bir başka “arama emri” ise ilgili numaranın GPS koordinatlarını ve gönderilen-alınan tüm fotoğrafları istedi
Mağdurun ailesine ve iş yerine yayılan temaslar
- 13 Ekim 2023’te mağdurun annesi, Glauner’ın mağdurla iletişim kurmaya çalıştığını söyleyen bir sesli mesaj aldı
- 13 Ekim’den 22 Ekim’e kadar mağdurun annesine Glauner’dan 10 sesli mesaj geldi
- Mesajlarda mağdurla iletişim kurana kadar durmayacağı söyleniyordu
- 16 Ekim’de mağdurun babası, mağdurun fotoğrafı ve “Do you know this girl?” metnini içeren bir mesaj aldı
- Glauner’ın, mağdurun çalıştığı Raleigh’deki iş yerine de tekrar tekrar telefon ettiği ortaya çıktı
- 15 Ekim’de mağdurun adresi gibi görünen bir yer için refah kontrolü talebiyle acil çağrı yapıldı ve olay yerine gelen polis bunun asılsız bir ihbar olduğuna karar verdi
- 23 Ekim’de polis, “Officer Cooper”ın Verizon’la iletişime geçerken kullandığı telefon numarasıyla bağlantılı Google hesabı için arama emri aldı
- Polis ayrıca Glauner’ın eski kız arkadaşını takip ettiği iddiasıyla San Diego Sheriff’s Office tarafından arandığını da doğruladı
- California’daki olayın polis raporunda, mağdurun “son 4 ayda telefon numarasını 4 kez değiştirdiği ama Glauner’ın bir şekilde numarayı bulmaya devam ettiği” yazıyordu
North Carolina’ya varır varmaz tutuklanması
- 26 Ekim’de North Carolina’daki mağdur, arkadaşlarına, ailesine ve işverenine gelen aramaları azaltmak için bir Tracphone edindi ve bu numarayı Glauner’a verdi
- 5 Kasım’da mağdur, Glauner’ın North Carolina’ya gelmekte olduğuna dair bilgi aldığını bildirdi
- Uzun mesajda silah ve mühimmat bulmaya çalıştığına dair ifadeler ve “if I can’t have you no one can” tehdidi yer alıyordu
- Hayatı ve güvenliği için endişe eden mağdur, New Mexico’dan Raleigh’e hareket eden Glauner’ın konum bilgisini kolluk kuvvetlerine iletti
- 6 Kasım’da polis, Glauner hakkında yakalama emri çıkardı
- Suçlamalar arasında mağdurun çıplak görüntülerini ailesine yaymakla tehdit etmeye dayanan şantaj, takip, siber takip ve tehdit içerikli iletişim vardı
- Polis, mağdur ve ailesi akşam boyunca evden uzaktayken Glauner’ın gitmekte olduğu adresi gözetledi
- Glauner, 6 Kasım saat 21.00 civarında New Mexico plakalı bir Jeep Cherokee ile geldi ve tutuklandı
- Söz konusu adresin hemen önünde durduktan sonra komşunun bahçesine girip karanlık bir noktada bekliyordu
- Üzerinde yapılan aramada siyah katlanır ustura tipi bir bıçak ve 2 cep telefonu bulundu
- Telefonlardan birinin kilit ekranında mağdurun görüntüsü vardı ve ekranda “Victim 1”den gelen kısa mesaj bildirimi görünüyordu
- Jeep Cherokee’de yapılan aramada cam meth pipe, methamphetamine olduğundan şüphelenilen 8 gram madde ve plastik ambalajlı 2 yeni ip demeti bulundu
- Glauner, North Carolina’daki suçlamalara ek olarak California’daki açık yakalama emri nedeniyle Fugitive from Justice suçlamasıyla da itham edildi ve 550 bin dolar kefaletle Wake County Jail’de tutuldu
1 yorum
Hacker News yorumları
Yargı kararı sahtelemek çok kolay. Verizon’ın ya da başka bir şirketin ABD’deki 1.700’den fazla county’den belirli birinde kullanılan formu bilmesinin yolu yok
Federal celpler daha da kolay; çünkü formları standart ve gizli olarak sunuluyor. Verizon mahkeme kalemini arayıp “Büyük jüri gerçekten celp çıkardı mı?” diye soramaz; belge de herhangi bir güvenlik özelliği olmayan sıradan fotokopi kâğıdına basılı. Bu gerçek yayılırsa vakaların artacağını düşünüyorum. Küçük talepler mahkemesinde dava açıp celp çıkarttırmak da yeterince kolay ve genelde o celbin iptali için harekete geçecek kimse de olmuyor. Hukuk celbi, ceza celbine göre biraz daha uzun sürer ve tebligat masrafı da ödemek gerekir ama bu büyük bir engel değil
Sağlık alanında da böyle şeyler yaşanıyor; sahte taleplere yanıt vermenin cezası çok daha ağır olduğu için sağlık çalışanları bu tür doğrulama süreçlerini uygulamak üzere eğitiliyor. HIPAA, kandırılarak HIPAA kapsamındaki bilgilerin açıklanmış olup olmadığına bakıp hoşgörü göstermiyor
https://www.hipaaexams.com/blog/medical-record-subpoena
Telekom şirketine kişisel iletişim verilerini vermesini emreden resmî bir kararın, düzenleyen kurumun açık anahtarıyla kolayca doğrulanabilen dijital imzalı bir dosya olarak değil de ince bir odun hamuru parçasının üzerine pigment sürülmüş hâlde iletildiğini mi söylüyorsunuz?
Celbin iptali için başvuracak biri her zaman vardır: bizzat alıcı. Genelde alıcı ve karşı taraf olmak üzere iki kişi bunu yapabilir. Federal celplerde iptal prosedürüne ilişkin kurallar celbin üzerinde yazılıdır
https://www.uscourts.gov/sites/default/files/ao088b.pdf
Ayrıca telefon kayıtlarının alınmasına uygulanabilecek çok sayıda yasa ve içtihat var. Ne talep edildiğine bağlı olarak celp gerekmeyebilir bile
Kimlik numarası ve temel ayrıntıların da doğrulanabilir olmasını isterdim ama ABD’yi değil yalnızca Alman hukuk sistemini bildiğim için kesin konuşmam zor
Verizon’ın bunu içeride nasıl işlediğini bilmiyorum ama FAANG şirketlerinden birinin “kolluk kuvvetleri taleplerine yanıt biriminde” çalışan bir arkadaşım var. O şirket bilgi sağlamaya yönelik çok sayıda hukuki talep alıyor; çok sayıda sahte talep var, ayrıca gerçekten kamu kurumlarından gelen ama şüpheli bulunup itiraz edilen talepler de var. Bu yüzden yanıt vermek için çok ayrıntılı süreçlere ve teknolojilere sahipler. Verizon ABD’nin en büyük mobil operatörü; bu alanda tam bir rezalet gösterisi gibi görünmeyecek kadar yetkinlik geliştirebilir
Verizon’ın “bu konuda kolluk kuvvetleriyle iş birliği yapıyoruz” tarzındaki basmakalıp yanıtı aynen yayımlaması, bu olayda belki biraz farklı düzenlenmeliydi
Aslında gülünecek bir şey değil ama yine de epey komik. Küçük bir yerel ISP’de ek iş olarak çalışıyorum; iki kez hukuki talep işledim. İlk talebi aldığımızda nasıl doğrulama yapacağımızı bilemeyip düşündük ve prosedürümüz, emirde yazan tüm iletişim bilgilerini çöpe atıp güvenilir kaynaklardan yeni iletişim bilgileri bularak telefonla doğrulama yapmak oldu. İkisinde de bilgiyi eyaletin resmî web sitesinden bulduk. Verizon da bu prosedürü kullansaydı muhtemelen bu olayı yakalardı. Çünkü Cary Police Department, Steven Cooper adında bir polis memuru olmadığını doğrulamış
Bir kararın hâkim tarafından onaylanıp onaylanmadığını doğrulamanın başlıca yolunun kolayca sahtecilik yapılabilen imza kontrolü olması şaşırtıcı
Birçok stalker gerçekten korkunç şeyler yapsa da hapis cezası almadığı durumlar var. Ancak eyaletten eyalete büyük fark var; şaşırtıcı biçimde her eyalette ağır suç değil ve en az bir eyalette ağır suç sayılması için verilen yetkiden çıkar elde etme niyetinin bulunması gerekiyor
Mahkeme web sitesinde doğrulama bilgilerini bulmayı sağlayacak bir parola içeren bir kâğıt, e-posta ya da çevrimiçi doğrulamayı mümkün kılan otomatik bir telefon numarası veya e-posta adresi bile yeterli olurdu
Mr. Robot adlı TV dizisinde buna benzer bir sahne belli belirsiz aklımda
Bir telefon numarası üzerinden ilgilenilen kişiyi bulmakla görevlendiriliyorlardı; sanırım NYPD faks hattının kimliğine bürünmüş ya da onu ele geçirmişlerdi. Telekom şirketinden veri almak için NYPD’nin kullandığı belgeleri sahte olarak hazırlayıp faksla gönderiyor ve yanıt bekliyorlardı. Proton Mail adresinden sahte belge göndermekten kesinlikle daha zarif ama sonuçta aynı yöntem
Buldum: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
Görünüşe göre anonim kalmak için halka açık Wi-Fi kullanıyorlar ve daha inandırıcı görünmesi için NYPD faks numarasını taklit ediyorlar. Bu diziyi yeniden izlemeliyim
E-postada Proton’un varsayılan imzası olan “sent with Proton Mail secure email” ifadesinin bile yer alması şaşırtıcı. Gönderen alanından fark edilememiş olabilir diyelim, ama bunun neden tehlike işareti olarak görülmediğini anlamak zor
Cevap, polisin bu tür işlerde kişisel hesapları rutin olarak kullanmasıysa bile şaşırmam
Asıl olayın absürtlüğünden ayrı olarak beni en çok şaşırtan kısım, mağdur ile Glauner’ın flört özelliği olan bir porno sitesi hamster.com’da tanışıp çevrim içi bir ilişki yaşamış olmalarıydı
Bir porno sitesindeki flört özelliğinin başlı başına dolandırıcılık ya da phishing girişimi olmayabileceğini bilmiyordum
Bu tür sahtecilikler çok yaygın
Özellikle aciliyet, yani ölüm kalım meselesi baskısı ekleyip, hızlı işlem yapılmazsa uygulanacak yasaları ve cezaları belirtince; üstüne bir de bunun ifşa edilmemesi gerektiğine dair yasa ve cezaları ekleyince daha da işe yarıyor. Şimdi zavallı bir avukat ne yapması gerektiğine karar vermek zorunda kalıyor. Ortaya çıkan vakalar sadece buzdağının görünen kısmı; gerçek ölçeğin çok daha büyük olduğunu varsaymak gerekir
Verizon’ı ya da başka kurumları suçlamak istesem de, asıl mesele bu tür arama emri işleme yönteminin internet çağına tamamen uymaması. Sahtecilik sıradan bir suç olduğu için arama emirlerini kâğıt postayla göndermek bir dereceye kadar güvenliydi; çünkü iade adresi vb. üzerinden suçluların izi sürülebilirdi. Ama internette durum değişti. Başka bir ülkede bulunan ya da neredeyse anonim biri, neredeyse sıfıra yakın maliyetle sahte arama emri gönderip iletebilir. Gerçekçi formlar, hack’lenmiş polis merkezlerinden kolayca elde edilebilir; hatta bazen e-posta erişimi bile ele geçirilebilir. Maliyet–fayda–risk dengesi saldırganın lehine döndü ve çoğu ülkenin bu talepleri daha hızlı işleme almaya çalışması da yardımcı olmuyor
Bundan sonra yapay zeka nedeniyle suçlular bu tür dolandırıcılıkların her yönünü inanılması güç derecede iyi taklit edebilecek
Formlar, sahte hukuk fakülteleri, sahte okul web siteleri, sahte hukuk web siteleri, sahte yorumlar gibi şeylerin hepsi buna dahil. En küçük bir şeyi doğrulamak bile giderek daha fazla kaynak gerektirecek
Kişisel bilgileri vermek istemediğinizi söylediğinizde tuhaf bakışlarla karşılaşmanızın nedeni bu
Bu tür e-postalarda PGP imzası olması gerekiyor gibi görünüyor
S/MIME deseydiniz, X.509 sertifika otoritesi sistemi olduğu için gerçekten mantıklı olurdu. Ama güven ağı (WoT) kullanan PGP burada tamamen yanlış araç