Verizon, sahte "arama emri"ne kanıp kurbana ait telefon verilerini bir sapığa verdi

 (arstechnica.com)
1 puan yazan GN⁺ 2023-12-10 | 1 yorum | WhatsApp'ta paylaş
  • Verizon, sahte polis ve arama emrine kanarak kurbanın adresini ve arama kayıtlarını sapığa verdi
  • Sapık Robert Michael Glauner, kurbanın evinin yakınında yakalandı ve üzerinde bıçak vardı
  • Glauner, kurbanla internette romantik bir ilişki yaşamıştı ancak ilişki bittikten sonra da iletişim kurmaya çalıştı

Sahte polis, sahte yargıç imzası

  • Glauner, Verizon'u kandırmak için sahte e-postalar ve arama emrini Verizon Security Assistance Team'e (VSAT) gönderdi.
  • Verizon, e-posta bir Proton Mail adresinden gönderilmiş olmasına rağmen talebin dolandırıcılık olduğunu fark etmedi
  • Arama emrinde var olmayan bir polis memurunun adı ve sahte bir yargıç imzası yer alıyordu

Verizon adresi ve arama kayıtlarını verdi

  • Verizon, sahte belgeleri inceledikten sonra kurbanın adresini ve arama kayıtlarını Glauner'e verdi.
  • Verizon'un internet sitesine göre VSAT, yasal talepleri gizli şekilde işler ve geçerli tüm yasalara uyar
  • Verizon, olayla ilgili olarak kolluk kuvvetleriyle iş birliği yaptığını açıkladı

GN⁺ görüşü

Bu haberdeki en önemli nokta, Verizon'un sahte polis ve arama emrine kanarak kurbanın kişisel bilgilerini vermesi. Bu tür olaylar, kişisel gizlilik ile şirketlerin yasal talep işleme sistemlerindeki zayıflıkları ortaya koyuyor ve birçok kişi için ilgi çekici bir konu olabilir. Özellikle siber güvenlik ve gizlilikle ilgilenenler için bu olay önemli bir ders niteliğinde olabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2023-12-10
Hacker News görüşleri

  • Mahkeme emirlerini taklit etmek çok kolay

    • Verizon ya da başka bir şirketin, ABD'de 1700'den fazla county'nin kullandığı belirli bir formu bilmesinin bir yolu yok
    • Federal celpler standartlaştırılmış ve gizli şekilde dosyalanıyor; bu da işi daha da kolaylaştırıyor
    • Verizon, bir celbin gerçekten düzenlenip düzenlenmediğini doğrulamak için mahkeme kalemini arayamaz
    • Belgeler sıradan fotokopi kağıdına basılıyor ve hiçbir güvenlik özelliği taşımıyor
    • Küçük talepler mahkemesinde dava açıp celp çıkartmak da kolay
    • Hukuk davalarındaki celpler, ceza celplerine göre biraz daha uzun sürüyor ve tebligat ücreti ödemek gerekiyor, ama bu ciddi bir engel değil

  • Verizon sözcüsü, şirketin bu olay hakkında kolluk kuvvetleriyle iş birliği yaptığını söyledi

  • Küçük bir topluluk ISP'sinde yarı zamanlı çalışan biri, hukuk sistemiyle iki kez muhatap olmuş

    • İlk talebi aldığında bunun gerçek olup olmadığını nasıl doğrulaması gerektiğini düşünmüş
    • Sonunda süreç olarak, emirdeki tüm iletişim bilgilerini yok sayıp güvenilir bir kaynaktan (resmî eyalet web sayfası) yeni iletişim bilgileri bularak doğrulama yapmaya karar vermiş
    • Verizon da bu süreci benimseseydi, bu olay tespit edilebilirdi

  • TV dizisi 'Mr. Robot'ta benzer bir durum tasvir ediliyor

    • Baş karakter, bir telefon numarası üzerinden belirli bir kişiyi bulmak için NYPD'nin faks hattını taklit ediyor ya da ele geçiriyor ve operatörden veri almak için NYPD'nin kullandığı belgeleri sahte olarak hazırlıyor
    • Sahte faksı gönderip yanıt bekliyor
    • Anonimliğini korumak için herkese açık Wi‑Fi kullanıyor ve daha gerçekçi görünmesi için NYPD'nin faks numarasını sahte olarak gösteriyor

  • Bir yargıcın imzaladığı emrin geçerliliğini doğrulamanın başlıca yolu, kolayca taklit edilebilen bir imzaya bakmak

  • E-postada Proton Mail'in varsayılan imzası olan 'Proton Mail secure email sent from' ifadesi yer alıyor

    • "From" alanında fark edilmeyebilir, ama bunun nasıl bir uyarı işareti oluşturmadığı soru işareti
    • Belki de polislerin bu tür işleri kişisel hesaplarla yürütmesi olağan bir durumdur

  • Bu tür belgelerin sahte olması çok yaygın

    • Aciliyetle (yaşam memat meselesi), işlem yapılmazsa hukuki sorumluluk ya da ifşa edilirse para cezası tehdidinin birleşimi söz konusu
    • Avukatların artık buna nasıl yaklaşacaklarına karar vermesi gerekiyor
    • Bu tür olaylar buzdağının sadece görünen kısmı
    • Belgeyi sahteleyip göndermenin maliyeti neredeyse sıfır olduğu için, internet çağında bu tür emir işleme yöntemleri hiç uygun değil
    • Yeterince çok polis departmanı hack'lendiğinden, gerçekçi şablonlar elde etmek ve bazen doğrudan e-posta erişimine sahip olmak mümkün
    • Maliyet/getiri/risk dengesi saldırganların lehine değişmiş durumda

  • Asıl hikâyedeki çılgınlık bir yana, hamster.com adlı porno sitesinin flört özelliği üzerinden tanışılmış olması şaşırtıcı

    • Bir porno sitesinin flört özelliğinin dolandırıcılık ya da phishing girişimi dışında bir şey olabileceğini bilmiyordum

  • Verizon gibi büyük şirketlerin, kolluk kuvvetlerinden gelen taleplere yanıt vermek için belirli prosedürlere sahip olması gerekir

  • E-postaların PGP ile imzalanması gerekiyor gibi görünüyor

  • Annesinin mirasını tasfiye ederken, imzası doğrulanamayan iki basit belgeyi (ölüm belgesi ve veraset belgesi) sahteleyerek ne kadar büyük zarar verilebileceğini görüp ürpermiş

    • Her şeyi tarayıp e-postayla göndermek, fotoğraf yollamak ya da telefonda kibarca konuşmak çoğu zaman yetiyor
    • Banka hesabı kapatma gibi bazı işlemler, kişinin bizzat bulunmasını ve kimlikle doğrulanmasını gerektiriyor
    • Hangi belgenin nasıl göründüğünü biliyorsanız, dünya ayaklarınızın altında