Verizon cai em falso "mandado de busca" e entrega dados do celular da vítima a stalker

 (arstechnica.com)
1 pontos por GN⁺ 2023-12-10 | 1 comentários | Compartilhar no WhatsApp
  • A Verizon foi enganada por falsos policiais e um mandado de busca falso, e forneceu ao stalker o endereço e os registros de chamadas da vítima
  • O stalker, Robert Michael Glauner, foi preso perto da casa da vítima e estava com uma faca no momento da prisão
  • Glauner teve um relacionamento romântico online com a vítima, mas continuou tentando contato após o fim da relação

Falsos policiais, assinatura de juiz falsificada

  • Glauner enganou a Verizon ao enviar um e-mail falso e um mandado de busca para a equipe Verizon Security Assistance Team (VSAT).
  • A Verizon não percebeu que o pedido era fraudulento, embora o e-mail tivesse sido enviado de um endereço do Proton Mail
  • O mandado de busca incluía o nome de um policial inexistente e a assinatura falsificada de um juiz

Verizon fornece endereço e registros de chamadas

  • Depois de revisar os documentos falsos, a Verizon forneceu a Glauner o endereço e os registros de chamadas da vítima.
  • Segundo o site da Verizon, a VSAT processa exigências legais de forma confidencial e cumpre todas as leis aplicáveis
  • A Verizon afirmou que está cooperando com as autoridades policiais no caso

Opinião do GN⁺

O ponto mais importante desta matéria é o fato de a Verizon ter sido enganada por falsos policiais e um mandado de busca falso, levando à entrega de informações pessoais da vítima. Casos assim expõem fragilidades na privacidade de dados e nos sistemas corporativos de tratamento de solicitações legais, o que pode interessar a muita gente. Em especial, para quem acompanha cibersegurança e privacidade, este caso pode servir como um importante estudo prático.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-12-10
Opinião do Hacker News

  • Falsificar uma ordem judicial é muito fácil

    • Não há como a Verizon ou outra empresa saber qual formulário específico é usado por mais de 1.700 condados nos EUA
    • Intimações federais são padronizadas e protocoladas de forma não pública, então é ainda mais fácil
    • A Verizon não pode simplesmente ligar para o cartório para confirmar se a intimação foi emitida
    • Os documentos são impressos em papel comum e não têm recursos de segurança
    • Também é fácil abrir uma ação de pequenas causas para conseguir a emissão de uma intimação
    • Intimações civis demoram um pouco mais do que intimações criminais e exigem o pagamento do custo de diligência, mas isso não chega a ser um problema

  • Um porta-voz da Verizon disse que está cooperando com as autoridades neste caso

  • Uma pessoa que trabalha meio período em um pequeno ISP comunitário teve contato com o sistema jurídico duas vezes

    • Quando recebeu a primeira solicitação, ficou pensando em como deveria verificar se ela era autêntica
    • O procedimento definido foi descartar todas as informações de contato presentes no mandado e buscar novos contatos em uma fonte confiável (a página oficial do estado) para fazer a confirmação
    • Se a Verizon também tivesse adotado esse procedimento, poderia ter detectado este caso

  • Um caso parecido foi retratado na série de TV 'Mr. Robot'

    • O protagonista finge ser ou intercepta uma linha de fax da NYPD para localizar uma pessoa específica por número de celular e falsifica documentos usados pela NYPD para obter dados da operadora
    • Ele envia o fax falsificado e espera a resposta
    • Usa Wi‑Fi público para manter o anonimato e falsifica o número de fax da NYPD para parecer mais legítimo

  • O principal meio de verificar a validade de uma ordem assinada por um juiz é olhar para uma assinatura que pode ser facilmente falsificada

  • O e-mail incluía a assinatura padrão do Proton Mail: 'Enviado com e-mail seguro Proton Mail'

    • No campo 'de' isso pode passar despercebido, mas é difícil entender como isso não gerou um alerta
    • Talvez seja comum a polícia lidar com esse tipo de coisa usando contas pessoais

  • A falsificação desse tipo de documento é extremamente comum

    • Isso vem combinado com senso de urgência (questão de vida ou morte), além de menções a responsabilidade legal por não cumprir ou multas por divulgação
    • Agora os advogados precisam decidir como devem lidar com isso
    • Esses casos são apenas a ponta do iceberg
    • Como o custo para falsificar e enviar documentos é quase zero, essa forma de processar mandados não é nem um pouco adequada para a era da internet
    • Delegacias suficientes já foram invadidas para permitir obter modelos realistas e, às vezes, até acesso direto ao e-mail
    • A relação custo/benefício/risco mudou a favor dos atacantes

  • Além do absurdo da história original, há surpresa com o fato de o caso ter começado por meio do recurso de namoro de um site pornô chamado Hamster.com

    • Não sabia que recursos de namoro em sites pornôs não eram apenas golpes ou tentativas de phishing

  • Grandes empresas como a Verizon deveriam ter um procedimento específico para responder a solicitações das autoridades

  • E-mails como esse provavelmente deveriam ser assinados com PGP

  • Ao organizar os bens da mãe após sua morte, alguém percebeu como é assustador o estrago que se pode causar falsificando dois documentos simples cuja assinatura não pode ser verificada (a certidão de óbito e o comprovante de herança)

    • Dá para resolver quase tudo apenas enviando um scan ou uma foto por e-mail, ou conversando educadamente por telefone
    • Algumas tarefas, como encerrar contas bancárias, exigem presença física e verificação com documento de identidade
    • Se você souber como certos documentos são, o mundo fica aos seus pés