1 pontos por GN⁺ 2023-12-10 | 1 comentários | Compartilhar no WhatsApp
  • Uma falha no processo da operadora para lidar com solicitações de autoridades permitiu que a Verizon Wireless entregasse endereço e registros de chamadas da vítima a alguém que se passou por policial
  • Robert Michael Glauner solicitou informações da vítima usando um endereço do Proton Mail e um falso mandado de busca, e a Verizon não conseguiu filtrar pedidos que não vinham de uma delegacia ou domínio governamental
  • Os documentos falsificados incluíam o inexistente “Detective Steven Cooper”, do departamento de polícia de Cary, e uma assinatura falsificada de um juiz real, além de não conter o formulário AOC-CR-119, exigido para mandados de busca na Carolina do Norte
  • Depois que a Verizon forneceu as informações em 5 de outubro de 2023, Glauner contatou repetidamente a família e o trabalho da vítima e enviou mensagens ameaçadoras à vítima
  • Quando dados sensíveis de assinantes vazam por causa de um único pedido fraudulento, o stalking online pode evoluir para uma ameaça física

Dados de assinante da Verizon vazados por solicitação falsa de autoridade

  • A Verizon Wireless forneceu endereço e registros telefônicos de uma vítima a Robert Michael Glauner, que se passou por policial
  • Glauner foi posteriormente preso perto da residência da vítima e estava com uma faca no momento da prisão
  • Segundo o caso, ele descobriu o endereço da vítima e depois viajou do Novo México para Raleigh, na Carolina do Norte
  • Antes de chegar, enviou à vítima a mensagem ameaçadora “if I can’t have you no one can” e também é acusado de ter ameaçado enviar fotos nuas da vítima à família dela
  • Glauner foi indiciado no Tribunal Distrital Federal do Leste da Carolina do Norte por stalking e fraude “relacionada à obtenção de registros telefônicos confidenciais”
  • O caso foi noticiado anteriormente pela 404 Media

Contato contínuo após o fim do relacionamento online

  • Glauner e a vítima se conheceram em agosto ou setembro de 2023 no xhamster.com, um site pornô com recurso de namoro, e iniciaram um relacionamento amoroso online
  • Mesmo após a vítima encerrar a relação, Glauner continuou entrando em contato ou tentando contato
  • O pedido enviado à Verizon foi encaminhado ao endereço de e-mail da Verizon Security Assistance Team (VSAT), vsat.cct@one.verizon.com
  • A VSAT é a organização que processa solicitações legais, e o site da Verizon informa que trata de forma confidencial exigências legais como ordens judiciais, mandados de busca e intimações, em conformidade com a legislação aplicável
  • A mesma página informa que a VSAT aceita apenas solicitações legais válidas para pedidos de registros

Falso policial e mandado de busca falsificado

  • Em 26 de setembro de 2023, foi enviado um e-mail à Verizon a partir do endereço steven1966c@proton.me
    • O e-mail dizia ter anexado um PDF de mandado de busca e afirmava que os dados do celular eram necessários “para localizar e prender um suspeito”
    • Também solicitava o nome completo do assinante da Verizon vítima e o novo número de telefone atribuído
  • O documento anexado incluía uma declaração falsa montada para parecer ter sido redigida pelo “Detective Steven Cooper”, do departamento de polícia de Cary, na Carolina do Norte
    • A polícia de Cary confirmou que não existe nenhum agente chamado Steven Cooper em seu quadro
  • No mesmo dia, a VSAT recebeu uma ligação de um homem que se identificou como Cooper
    • Ele disse precisar de informações sobre um suspeito de homicídio
    • Também afirmou que a pessoa envolvida havia mudado de número de telefone
  • A falsa declaração pedia o novo número de telefone, registros de chamadas recebidas e efetuadas, dados de localização e mensagens de texto recebidas e enviadas
  • O documento indicava que a juíza do tribunal superior Gale Adams havia aprovado o mandado de busca
    • Adams é uma juíza real, mas confirmou que a assinatura no documento não era dela
    • O suposto “mandado de busca” também não incluía o formulário AOC-CR-119, exigido para mandados no estado da Carolina do Norte

Os dados fornecidos pela Verizon e as exigências posteriores

  • Após revisar o e-mail e os documentos enviados por “Cooper”, a Verizon forneceu em 5 de outubro de 2023 os registros telefônicos da vítima
    • Os registros fornecidos incluíam endereço e histórico de chamadas
  • A Verizon não respondeu imediatamente a perguntas sobre o caso, e um porta-voz da empresa disse à 404 Media que a companhia está cooperando com as autoridades
  • Em 9 de outubro, a VSAT voltou a receber uma ligação do “Officer Cooper”
    • O interlocutor perguntou como ler os dados
    • Pelo conteúdo da ligação gravada, foi confirmado que Glauner havia recebido os registros da Verizon Wireless
    • O interlocutor também disse que a assinante havia mudado de número e que ele tinha obtido esse novo número
  • Ainda existe a possibilidade de que Glauner não tenha realmente conseguido o novo número naquele momento
    • A VSAT continuou recebendo e-mails pedindo o número da vítima e outras informações
    • Outro “mandado de busca” exigia as coordenadas de GPS desse número e todas as fotos enviadas e recebidas

Contato se espalha para família e trabalho da vítima

  • Em 13 de outubro de 2023, a mãe da vítima recebeu uma mensagem de voz dizendo que Glauner tentava entrar em contato com a vítima
  • De 13 a 22 de outubro, a mãe da vítima recebeu 10 mensagens de voz de Glauner
    • As mensagens diziam que ele não iria parar até conseguir contato com a vítima
  • Em 16 de outubro, o pai da vítima recebeu uma mensagem com a foto da vítima e o texto “Do you know this girl?”
  • Também foi constatado que Glauner ligou repetidamente para o estabelecimento em Raleigh onde a vítima trabalhava
  • Em 15 de outubro, houve uma chamada de emergência pedindo uma checagem de bem-estar em um local que parecia ser o endereço da vítima, mas a polícia que atendeu concluiu que a ocorrência era falsa
  • Em 23 de outubro, a polícia obteve um mandado de busca para a conta do Google vinculada ao número de telefone usado quando “Officer Cooper” contatou a Verizon
  • A polícia também confirmou que Glauner era procurado pelo San Diego Sheriff’s Office por suspeita de perseguir uma ex-namorada
    • Um relatório policial do caso na Califórnia dizia que a vítima “mudou de número de telefone 4 vezes nos últimos 4 meses, mas de algum modo Glauner continuou descobrindo o número”

Preso logo após chegar à Carolina do Norte

  • Em 26 de outubro, a vítima na Carolina do Norte conseguiu um Tracphone para reduzir as ligações feitas a amigos, familiares e empregador, e informou esse número a Glauner
  • Em 5 de novembro, a vítima avisou que havia recebido a informação de que Glauner estava indo para a Carolina do Norte
    • Uma longa mensagem de texto incluía conteúdo sobre conseguir uma arma e munição, além da ameaça “if I can’t have you no one can”
  • Temendo por sua vida e segurança, a vítima forneceu às autoridades as informações de localização de Glauner em seu deslocamento do Novo México até Raleigh
  • Em 6 de novembro, a polícia obteve um mandado de prisão contra Glauner
    • As acusações incluíam extorsão por ameaçar divulgar imagens nuas da vítima à família, stalking, cyberstalking e comunicação ameaçadora
  • A polícia vigiou o endereço para onde Glauner se dirigia enquanto a vítima e a família permaneciam fora de casa durante a noite
  • Glauner chegou por volta das 21h de 6 de novembro dirigindo um Jeep Cherokee com placa do Novo México e foi preso
    • Ele parou em frente ao endereço, entrou no quintal da casa vizinha e ficou parado em uma área escura
    • Na revista após a prisão, foram encontradas uma faca dobrável preta do tipo lâmina de barbear e dois celulares
    • Na tela bloqueada de um dos celulares aparecia uma imagem da vítima, e a tela mostrava uma notificação de mensagem de “Victim 1”
  • Na busca no Jeep Cherokee, foram encontrados um cachimbo de vidro para metanfetamina, 8 gramas de uma substância suspeita de ser metanfetamina e dois pacotes de corda nova ainda embalados em plástico
  • Além das acusações na Carolina do Norte, Glauner também foi acusado de Fugitive from Justice por causa de um mandado pendente na Califórnia e ficou detido na Wake County Jail com fiança fixada em US$ 550 mil

1 comentários

 
GN⁺ 2023-12-10
Comentários do Hacker News
  • Falsificar uma ordem judicial é muito fácil. A Verizon ou qualquer outra empresa não tem como saber qual formulário é usado por um condado específico entre mais de 1.700 condados nos EUA
    Intimações federais são ainda mais fáceis, porque o formulário é padronizado e o processo é sigiloso. A Verizon também não pode simplesmente ligar para o cartório e perguntar: “o grande júri realmente emitiu uma intimação?”. Os documentos são em papel comum, sem qualquer recurso de segurança. Se isso se espalhar, parece provável que aconteça mais vezes. Também é fácil o bastante abrir uma ação no juizado de pequenas causas e conseguir emitir uma intimação, e normalmente não há ninguém disposto a agir para anulá-la. Intimações cíveis levam um pouco mais de trabalho do que intimações criminais e exigem pagar pela notificação, mas isso não é uma grande barreira

    • A Verizon na verdade pode fazer uma ligação de verificação. A intimação precisa ter informações de contato, e a Verizon pode verificar se esse contato é legítimo e então entrar em contato diretamente para confirmar a autenticidade da intimação
      Isso também acontece na área da saúde, e como a punição por responder a solicitações falsas é muito maior, profissionais de saúde são treinados para fazer esse tipo de verificação. A HIPAA não dá desconto só porque você foi enganado e divulgou informações protegidas pela HIPAA
      https://www.hipaaexams.com/blog/medical-record-subpoena
    • Espera, isso quer dizer que essas ordens realmente chegam como impressões em papel?
      Quer dizer que uma ordem oficial instruindo uma operadora a entregar dados privados de comunicações é enviada não como um arquivo com assinatura digital facilmente verificável pela chave pública da autoridade emissora, mas como pigmento sobre uma fina camada de polpa de madeira?
    • Não sei quem decidiu que “a Verizon não pode ligar para o cartório e perguntar ‘o grande júri realmente emitiu uma intimação?’”. Não conheço nenhuma regra ou lei que proíba o destinatário de uma intimação de verificar sua legitimidade com o tribunal
      Sempre há alguém que pode pedir a anulação da intimação: o próprio destinatário. Em geral, são possíveis dois lados: o destinatário e a parte adversa. Nas intimações federais, as regras de anulação estão escritas na própria intimação
      https://www.uscourts.gov/sites/default/files/ao088b.pdf
      Além disso, há uma enorme quantidade de leis e precedentes aplicáveis à obtenção de registros telefônicos. Dependendo do que foi solicitado, talvez nem seja necessária uma intimação
    • Mandado de busca não é uma intimação sigilosa, e no mínimo sempre deveria ser possível verificar se a pessoa que o emitiu realmente existe e tem autoridade para isso
      Espero que também seja possível verificar o número de identificação e os principais detalhes, mas como conheço apenas o sistema jurídico alemão, não posso afirmar com certeza
    • Dizer que falsificar uma ordem judicial é fácil é como dizer que é fácil falsificar uma carta do golpe do príncipe nigeriano. A Verizon deveria sentir muita vergonha por isso. O pedido inicial veio de uma conta Proton, com erros de ortografia e falhas gramaticais infantis
      Não sei como a Verizon lida internamente com isso, mas tenho um amigo que trabalha no “departamento de resposta a solicitações de autoridades policiais” de uma das FAANG. Essa empresa recebe um volume gigantesco de pedidos legais de informações, muitos pedidos falsos e também muitos pedidos reais de órgãos governamentais que ainda assim parecem suspeitos e são contestados. Por isso, eles respondem com processos e tecnologia muito minuciosos. A Verizon é a maior operadora móvel dos EUA e deveria ser capaz de ter competência suficiente para não parecer um completo circo de horrores nessa área
  • O fato de a Verizon ter soltado aquela resposta padrão do tipo “estamos cooperando com as autoridades neste caso” talvez fosse algo que, neste caso específico, merecesse um ajuste
    Na verdade não é engraçado, mas ainda assim é bem engraçado. Trabalho por fora em um pequeno ISP regional e já lidei com duas solicitações legais. Quando recebi a primeira, fiquei pensando em como autenticar aquilo, e nosso procedimento acabou sendo descartar todos os contatos listados no mandado e procurar novos contatos em fontes confiáveis para confirmar por telefone. Nas duas vezes, encontramos no site oficial do estado. Se a Verizon usasse esse procedimento, provavelmente teria pego esse caso. O departamento de polícia de Cary confirmou que não existe nenhum policial chamado Steven Cooper

    • Como emitir um mandado de busca falso provavelmente é crime, faz sentido dizer que a Verizon está cooperando com as autoridades por causa disso
  • É surpreendente que a principal forma de verificar se uma ordem foi aprovada por um juiz seja checar uma assinatura que pode ser facilmente falsificada

    • Só falsificar a assinatura de um juiz já pode dar prisão. Em muitos estados, se passar por policial também. Ao localizar uma mulher dessa forma, esse perseguidor basicamente garantiu a própria ida para a cadeia
      Muitos perseguidores cometem coisas realmente assustadoras e ainda assim não acabam cumprindo pena de prisão. Mas isso varia muito de estado para estado e, surpreendentemente, nem em todos os estados isso é crime grave; em pelo menos um deles, só vira crime grave se houver intenção de obter vantagem com a autoridade atribuída
    • Isso parece falha do governo. Em praticamente qualquer outra área minimamente importante, usa-se um sistema de autenticação melhor e mais moderno, mas governos no mundo todo continuam dependentes de assinaturas
      Já ajudaria ter um papel, e-mail ou algum tipo de autenticação online com uma senha para consultar as informações de validação no site do tribunal, ou um número de telefone automatizado ou endereço de e-mail que permitisse validar online
  • Lembro vagamente de uma cena parecida na série Mr. Robot
    Tinham a tarefa de localizar uma pessoa de interesse por um número de celular e acho que fingiram ser a linha de fax da NYPD ou a interceptaram. A ideia era falsificar o documento usado pela NYPD para obter dados das operadoras, enviar por fax e esperar a resposta da operadora. É certamente mais elegante do que mandar documentos falsos a partir de um endereço do Proton Mail, mas no fim é o mesmo método
    Achei: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
    Pelo que vi, eles usam Wi‑Fi público para manter o anonimato e aparentemente falsificam o número de fax da NYPD para parecer mais convincente. Acho que vou rever essa série

  • É surpreendente que o e-mail até incluísse a assinatura padrão do Proton, “sent with Proton Mail secure email”. Mesmo que desse para não perceber pelo campo do remetente, é difícil entender por que isso não pareceu um sinal de alerta
    Também não seria surpreendente se a resposta fosse que a polícia usa contas pessoais rotineiramente para esse tipo de coisa

    • Já trabalhei ao lado do escritório da equipe responsável pelo contato com autoridades policiais em uma operadora, então ouvi muitas ligações e conversas. Eram todos ex-policiais, e havia uma tendência muito forte de entregar qualquer coisa que fosse solicitada. Sinceramente, eles também não eram lá muito perspicazes
    • Kevin Mitnick já ensinava, décadas atrás, que o elo mais fraco em qualquer ambiente são as pessoas. Engenharia social é muito mais fácil do que se imagina
    • Também pode ser apenas um caso de ninguém ler ou sequer olhar assinaturas de e-mail
    • Também é possível que tenham feito isso de propósito para filtrar agentes com maior vigilância de segurança
  • Separadamente do absurdo do caso em si, a parte que mais me surpreendeu foi que a vítima e Glauner se conheceram em um site pornô com recurso de namoro chamado hamster.com e tiveram um relacionamento romântico online
    Eu não sabia que um recurso de namoro em um site pornô podia não ser, por si só, uma tentativa de golpe ou phishing

    • Alguns criadores de conteúdo do OF usam esse tipo de plataforma para divulgar o próprio conteúdo
  • Esse tipo de falsificação é muito comum
    Funciona ainda melhor quando se acrescenta pressão de urgência, ou seja, uma questão de vida ou morte, e se mencionam as leis e punições aplicáveis caso não seja processado rapidamente, junto com leis e punições por divulgar o assunto. Aí algum advogado coitado precisa decidir o que fazer. Os casos que vieram à tona são apenas a ponta do iceberg, e a escala real provavelmente deve ser considerada muito maior
    Dá vontade de culpar a Verizon ou outras instituições, mas o ponto central é que esse modo de processar mandados está completamente desalinhado com a era da internet. Como falsificação costuma ser crime, enviar mandados por correio em papel era relativamente seguro. Era possível rastrear criminosos por endereço de retorno e afins. Mas, na internet, a situação mudou. Alguém em outro país, ou quase anônimo, pode forjar e enviar um mandado a custo praticamente zero. Um modelo convincente pode ser obtido facilmente em uma delegacia hackeada e, às vezes, até com acesso ao e-mail. O equilíbrio entre custo, benefício e risco passou a favorecer o atacante, e também não ajuda o fato de que a maioria dos países quer processar esse tipo de solicitação cada vez mais rápido

  • Daqui para frente, por causa da IA, criminosos poderão falsificar todos os aspectos desse tipo de golpe de um jeito incrivelmente convincente
    Isso inclui modelos, faculdades de direito falsas, sites de escolas falsos, sites jurídicos falsos, avaliações falsas e assim por diante. Mesmo para verificar uma coisinha pequena, será preciso gastar cada vez mais recursos

  • É por isso que, quando alguém diz que não quer repassar dados pessoais, recebe olhares estranhos

  • Esse tipo de e-mail parece algo que deveria vir com assinatura PGP

    • Como se estabeleceria que uma determinada chave PGP está sendo usada por alguma parte autorizada, com credenciais oficiais e para um propósito legítimo?
      Se fosse S/MIME, faria sentido de verdade, porque existe toda a infraestrutura de autoridades certificadoras X.509. Mas PGP com web of trust (WoT) é a ferramenta completamente errada aqui
    • O modelo de confiança do PGP é antiquado e, neste caso, provavelmente não teria ajudado muito