Verizon cai em falso "mandado de busca" e entrega dados de celular da vítima a stalker
(arstechnica.com)- Uma falha no processo da operadora para lidar com solicitações de autoridades permitiu que a Verizon Wireless entregasse endereço e registros de chamadas da vítima a alguém que se passou por policial
- Robert Michael Glauner solicitou informações da vítima usando um endereço do Proton Mail e um falso mandado de busca, e a Verizon não conseguiu filtrar pedidos que não vinham de uma delegacia ou domínio governamental
- Os documentos falsificados incluíam o inexistente “Detective Steven Cooper”, do departamento de polícia de Cary, e uma assinatura falsificada de um juiz real, além de não conter o formulário AOC-CR-119, exigido para mandados de busca na Carolina do Norte
- Depois que a Verizon forneceu as informações em 5 de outubro de 2023, Glauner contatou repetidamente a família e o trabalho da vítima e enviou mensagens ameaçadoras à vítima
- Quando dados sensíveis de assinantes vazam por causa de um único pedido fraudulento, o stalking online pode evoluir para uma ameaça física
Dados de assinante da Verizon vazados por solicitação falsa de autoridade
- A Verizon Wireless forneceu endereço e registros telefônicos de uma vítima a Robert Michael Glauner, que se passou por policial
- Glauner foi posteriormente preso perto da residência da vítima e estava com uma faca no momento da prisão
- Segundo o caso, ele descobriu o endereço da vítima e depois viajou do Novo México para Raleigh, na Carolina do Norte
- Antes de chegar, enviou à vítima a mensagem ameaçadora “if I can’t have you no one can” e também é acusado de ter ameaçado enviar fotos nuas da vítima à família dela
- Glauner foi indiciado no Tribunal Distrital Federal do Leste da Carolina do Norte por stalking e fraude “relacionada à obtenção de registros telefônicos confidenciais”
- O caso foi noticiado anteriormente pela 404 Media
Contato contínuo após o fim do relacionamento online
- Glauner e a vítima se conheceram em agosto ou setembro de 2023 no xhamster.com, um site pornô com recurso de namoro, e iniciaram um relacionamento amoroso online
- Mesmo após a vítima encerrar a relação, Glauner continuou entrando em contato ou tentando contato
- O pedido enviado à Verizon foi encaminhado ao endereço de e-mail da Verizon Security Assistance Team (VSAT),
vsat.cct@one.verizon.com - A VSAT é a organização que processa solicitações legais, e o site da Verizon informa que trata de forma confidencial exigências legais como ordens judiciais, mandados de busca e intimações, em conformidade com a legislação aplicável
- A mesma página informa que a VSAT aceita apenas solicitações legais válidas para pedidos de registros
Falso policial e mandado de busca falsificado
- Em 26 de setembro de 2023, foi enviado um e-mail à Verizon a partir do endereço
steven1966c@proton.me- O e-mail dizia ter anexado um PDF de mandado de busca e afirmava que os dados do celular eram necessários “para localizar e prender um suspeito”
- Também solicitava o nome completo do assinante da Verizon vítima e o novo número de telefone atribuído
- O documento anexado incluía uma declaração falsa montada para parecer ter sido redigida pelo “Detective Steven Cooper”, do departamento de polícia de Cary, na Carolina do Norte
- A polícia de Cary confirmou que não existe nenhum agente chamado Steven Cooper em seu quadro
- No mesmo dia, a VSAT recebeu uma ligação de um homem que se identificou como Cooper
- Ele disse precisar de informações sobre um suspeito de homicídio
- Também afirmou que a pessoa envolvida havia mudado de número de telefone
- A falsa declaração pedia o novo número de telefone, registros de chamadas recebidas e efetuadas, dados de localização e mensagens de texto recebidas e enviadas
- O documento indicava que a juíza do tribunal superior Gale Adams havia aprovado o mandado de busca
- Adams é uma juíza real, mas confirmou que a assinatura no documento não era dela
- O suposto “mandado de busca” também não incluía o formulário AOC-CR-119, exigido para mandados no estado da Carolina do Norte
Os dados fornecidos pela Verizon e as exigências posteriores
- Após revisar o e-mail e os documentos enviados por “Cooper”, a Verizon forneceu em 5 de outubro de 2023 os registros telefônicos da vítima
- Os registros fornecidos incluíam endereço e histórico de chamadas
- A Verizon não respondeu imediatamente a perguntas sobre o caso, e um porta-voz da empresa disse à 404 Media que a companhia está cooperando com as autoridades
- Em 9 de outubro, a VSAT voltou a receber uma ligação do “Officer Cooper”
- O interlocutor perguntou como ler os dados
- Pelo conteúdo da ligação gravada, foi confirmado que Glauner havia recebido os registros da Verizon Wireless
- O interlocutor também disse que a assinante havia mudado de número e que ele tinha obtido esse novo número
- Ainda existe a possibilidade de que Glauner não tenha realmente conseguido o novo número naquele momento
- A VSAT continuou recebendo e-mails pedindo o número da vítima e outras informações
- Outro “mandado de busca” exigia as coordenadas de GPS desse número e todas as fotos enviadas e recebidas
Contato se espalha para família e trabalho da vítima
- Em 13 de outubro de 2023, a mãe da vítima recebeu uma mensagem de voz dizendo que Glauner tentava entrar em contato com a vítima
- De 13 a 22 de outubro, a mãe da vítima recebeu 10 mensagens de voz de Glauner
- As mensagens diziam que ele não iria parar até conseguir contato com a vítima
- Em 16 de outubro, o pai da vítima recebeu uma mensagem com a foto da vítima e o texto “Do you know this girl?”
- Também foi constatado que Glauner ligou repetidamente para o estabelecimento em Raleigh onde a vítima trabalhava
- Em 15 de outubro, houve uma chamada de emergência pedindo uma checagem de bem-estar em um local que parecia ser o endereço da vítima, mas a polícia que atendeu concluiu que a ocorrência era falsa
- Em 23 de outubro, a polícia obteve um mandado de busca para a conta do Google vinculada ao número de telefone usado quando “Officer Cooper” contatou a Verizon
- A polícia também confirmou que Glauner era procurado pelo San Diego Sheriff’s Office por suspeita de perseguir uma ex-namorada
- Um relatório policial do caso na Califórnia dizia que a vítima “mudou de número de telefone 4 vezes nos últimos 4 meses, mas de algum modo Glauner continuou descobrindo o número”
Preso logo após chegar à Carolina do Norte
- Em 26 de outubro, a vítima na Carolina do Norte conseguiu um Tracphone para reduzir as ligações feitas a amigos, familiares e empregador, e informou esse número a Glauner
- Em 5 de novembro, a vítima avisou que havia recebido a informação de que Glauner estava indo para a Carolina do Norte
- Uma longa mensagem de texto incluía conteúdo sobre conseguir uma arma e munição, além da ameaça “if I can’t have you no one can”
- Temendo por sua vida e segurança, a vítima forneceu às autoridades as informações de localização de Glauner em seu deslocamento do Novo México até Raleigh
- Em 6 de novembro, a polícia obteve um mandado de prisão contra Glauner
- As acusações incluíam extorsão por ameaçar divulgar imagens nuas da vítima à família, stalking, cyberstalking e comunicação ameaçadora
- A polícia vigiou o endereço para onde Glauner se dirigia enquanto a vítima e a família permaneciam fora de casa durante a noite
- Glauner chegou por volta das 21h de 6 de novembro dirigindo um Jeep Cherokee com placa do Novo México e foi preso
- Ele parou em frente ao endereço, entrou no quintal da casa vizinha e ficou parado em uma área escura
- Na revista após a prisão, foram encontradas uma faca dobrável preta do tipo lâmina de barbear e dois celulares
- Na tela bloqueada de um dos celulares aparecia uma imagem da vítima, e a tela mostrava uma notificação de mensagem de “Victim 1”
- Na busca no Jeep Cherokee, foram encontrados um cachimbo de vidro para metanfetamina, 8 gramas de uma substância suspeita de ser metanfetamina e dois pacotes de corda nova ainda embalados em plástico
- Além das acusações na Carolina do Norte, Glauner também foi acusado de Fugitive from Justice por causa de um mandado pendente na Califórnia e ficou detido na Wake County Jail com fiança fixada em US$ 550 mil
1 comentários
Comentários do Hacker News
Falsificar uma ordem judicial é muito fácil. A Verizon ou qualquer outra empresa não tem como saber qual formulário é usado por um condado específico entre mais de 1.700 condados nos EUA
Intimações federais são ainda mais fáceis, porque o formulário é padronizado e o processo é sigiloso. A Verizon também não pode simplesmente ligar para o cartório e perguntar: “o grande júri realmente emitiu uma intimação?”. Os documentos são em papel comum, sem qualquer recurso de segurança. Se isso se espalhar, parece provável que aconteça mais vezes. Também é fácil o bastante abrir uma ação no juizado de pequenas causas e conseguir emitir uma intimação, e normalmente não há ninguém disposto a agir para anulá-la. Intimações cíveis levam um pouco mais de trabalho do que intimações criminais e exigem pagar pela notificação, mas isso não é uma grande barreira
Isso também acontece na área da saúde, e como a punição por responder a solicitações falsas é muito maior, profissionais de saúde são treinados para fazer esse tipo de verificação. A HIPAA não dá desconto só porque você foi enganado e divulgou informações protegidas pela HIPAA
https://www.hipaaexams.com/blog/medical-record-subpoena
Quer dizer que uma ordem oficial instruindo uma operadora a entregar dados privados de comunicações é enviada não como um arquivo com assinatura digital facilmente verificável pela chave pública da autoridade emissora, mas como pigmento sobre uma fina camada de polpa de madeira?
Sempre há alguém que pode pedir a anulação da intimação: o próprio destinatário. Em geral, são possíveis dois lados: o destinatário e a parte adversa. Nas intimações federais, as regras de anulação estão escritas na própria intimação
https://www.uscourts.gov/sites/default/files/ao088b.pdf
Além disso, há uma enorme quantidade de leis e precedentes aplicáveis à obtenção de registros telefônicos. Dependendo do que foi solicitado, talvez nem seja necessária uma intimação
Espero que também seja possível verificar o número de identificação e os principais detalhes, mas como conheço apenas o sistema jurídico alemão, não posso afirmar com certeza
Não sei como a Verizon lida internamente com isso, mas tenho um amigo que trabalha no “departamento de resposta a solicitações de autoridades policiais” de uma das FAANG. Essa empresa recebe um volume gigantesco de pedidos legais de informações, muitos pedidos falsos e também muitos pedidos reais de órgãos governamentais que ainda assim parecem suspeitos e são contestados. Por isso, eles respondem com processos e tecnologia muito minuciosos. A Verizon é a maior operadora móvel dos EUA e deveria ser capaz de ter competência suficiente para não parecer um completo circo de horrores nessa área
O fato de a Verizon ter soltado aquela resposta padrão do tipo “estamos cooperando com as autoridades neste caso” talvez fosse algo que, neste caso específico, merecesse um ajuste
Na verdade não é engraçado, mas ainda assim é bem engraçado. Trabalho por fora em um pequeno ISP regional e já lidei com duas solicitações legais. Quando recebi a primeira, fiquei pensando em como autenticar aquilo, e nosso procedimento acabou sendo descartar todos os contatos listados no mandado e procurar novos contatos em fontes confiáveis para confirmar por telefone. Nas duas vezes, encontramos no site oficial do estado. Se a Verizon usasse esse procedimento, provavelmente teria pego esse caso. O departamento de polícia de Cary confirmou que não existe nenhum policial chamado Steven Cooper
É surpreendente que a principal forma de verificar se uma ordem foi aprovada por um juiz seja checar uma assinatura que pode ser facilmente falsificada
Muitos perseguidores cometem coisas realmente assustadoras e ainda assim não acabam cumprindo pena de prisão. Mas isso varia muito de estado para estado e, surpreendentemente, nem em todos os estados isso é crime grave; em pelo menos um deles, só vira crime grave se houver intenção de obter vantagem com a autoridade atribuída
Já ajudaria ter um papel, e-mail ou algum tipo de autenticação online com uma senha para consultar as informações de validação no site do tribunal, ou um número de telefone automatizado ou endereço de e-mail que permitisse validar online
Lembro vagamente de uma cena parecida na série Mr. Robot
Tinham a tarefa de localizar uma pessoa de interesse por um número de celular e acho que fingiram ser a linha de fax da NYPD ou a interceptaram. A ideia era falsificar o documento usado pela NYPD para obter dados das operadoras, enviar por fax e esperar a resposta da operadora. É certamente mais elegante do que mandar documentos falsos a partir de um endereço do Proton Mail, mas no fim é o mesmo método
Achei: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
Pelo que vi, eles usam Wi‑Fi público para manter o anonimato e aparentemente falsificam o número de fax da NYPD para parecer mais convincente. Acho que vou rever essa série
É surpreendente que o e-mail até incluísse a assinatura padrão do Proton, “sent with Proton Mail secure email”. Mesmo que desse para não perceber pelo campo do remetente, é difícil entender por que isso não pareceu um sinal de alerta
Também não seria surpreendente se a resposta fosse que a polícia usa contas pessoais rotineiramente para esse tipo de coisa
Separadamente do absurdo do caso em si, a parte que mais me surpreendeu foi que a vítima e Glauner se conheceram em um site pornô com recurso de namoro chamado hamster.com e tiveram um relacionamento romântico online
Eu não sabia que um recurso de namoro em um site pornô podia não ser, por si só, uma tentativa de golpe ou phishing
Esse tipo de falsificação é muito comum
Funciona ainda melhor quando se acrescenta pressão de urgência, ou seja, uma questão de vida ou morte, e se mencionam as leis e punições aplicáveis caso não seja processado rapidamente, junto com leis e punições por divulgar o assunto. Aí algum advogado coitado precisa decidir o que fazer. Os casos que vieram à tona são apenas a ponta do iceberg, e a escala real provavelmente deve ser considerada muito maior
Dá vontade de culpar a Verizon ou outras instituições, mas o ponto central é que esse modo de processar mandados está completamente desalinhado com a era da internet. Como falsificação costuma ser crime, enviar mandados por correio em papel era relativamente seguro. Era possível rastrear criminosos por endereço de retorno e afins. Mas, na internet, a situação mudou. Alguém em outro país, ou quase anônimo, pode forjar e enviar um mandado a custo praticamente zero. Um modelo convincente pode ser obtido facilmente em uma delegacia hackeada e, às vezes, até com acesso ao e-mail. O equilíbrio entre custo, benefício e risco passou a favorecer o atacante, e também não ajuda o fato de que a maioria dos países quer processar esse tipo de solicitação cada vez mais rápido
Daqui para frente, por causa da IA, criminosos poderão falsificar todos os aspectos desse tipo de golpe de um jeito incrivelmente convincente
Isso inclui modelos, faculdades de direito falsas, sites de escolas falsos, sites jurídicos falsos, avaliações falsas e assim por diante. Mesmo para verificar uma coisinha pequena, será preciso gastar cada vez mais recursos
É por isso que, quando alguém diz que não quer repassar dados pessoais, recebe olhares estranhos
Esse tipo de e-mail parece algo que deveria vir com assinatura PGP
Se fosse S/MIME, faria sentido de verdade, porque existe toda a infraestrutura de autoridades certificadoras X.509. Mas PGP com web of trust (WoT) é a ferramenta completamente errada aqui