غول های فناوری آمریکا اطلاعات محرمانه کاربران را به حراج گذاشتند
سایت شیک: تنها یک ایمیل یا سند جعلی کافی است تا شرکت های بزرگ فناوری در آمریکا، محرمانه ترین اطلاعات کاربران را تحویل هکرهایی بدهند که خودرا مأمور قانون جا می زنند؛ این همان روشی است که به ابزاری سودآور برای گروههای «دکسینگ» تبدیل گشته و ضعف سیستم درخواست های اضطراری داده را آشکار کرده است.
تینا مزدکی_وقتی یکی از متخصصان حریم خصوصی در مرکز عملیات پاسخ حقوقی شرکت Charter Communications، روز ۴ سپتامبر یک درخواست اضطراری عرضه کرده را از طرف افسر جیسون کورس از اداره کلانتر جکسون ویل دریافت کرد، تنها چند دقیقه طول کشید تا او اطلاعات نام، نشانی خانه، شماره های تماس و ایمیل هدف را ارسال نماید. اما ایمیل درحقیقت نه از طرف کورس و نه هیچ یک از کارکنان اداره کلانتر جکسون ویل ارسال نشده بود. فرستنده، یکی از اعضاء گروهی هکری بود که به مشتریانی که حاضرند پول بدهند، خدمات «دکسینگِ سفارشی» ارایه می کند و داده های حساس ذخیره شده نزد شرکتهای فناوری آمریکا را به دست می آورد.
«اکزمپت»، یکی از اعضاء گروهی که این عملیات را انجام داده اند می گوید: «کل این کار ۲۰ دقیقه زمان برد.» او ادعا می کند گروهشان توانسته از حدودا تمام شرکتهای بزرگ فناوری آمریکا، همچون اپل و آمازون، و حتی پلت فرم های کوچک تری مانند سایت ویدئویی Rumble که میان اینفلوئنسرهای راست افراطی محبوب است، اطلاعات مشابهی استخراج کند.
این روش فریب شرکتها برای دریافت اطلاعاتی که می تواند به آزار، تهدید و ارعاب قربانیان منجر شود، سال هاست شناخته شده است. اما حال نحوه فعالیت یکی از این گروههای دکسینگ نشان داده که چرا با وجود هشدارهای مکرر، چنین اتفاقاتی هنوز به شکل گسترده رخ می دهد. حادثه Charter Communications یکی از حدود ۵۰۰ درخواست موفقی است که اکزمپت مدعی است طی سالیان اخیر ارسال کرده است.
برای اثبات ادعایش، او چندین سند و فایل صوتی را یه اشتراک گذاشت، همچون اسکرین شات هایی از ایمیل ها، احضاریه های جعلی، پاسخ شرکتهای فناوری و حتی ویدئویی از مکالمه تلفنی با تیم پاسخ به درخواست های قانونی یکی از شرکتها که درحال بررسی صحت یک درخواست بود.
اکزمپت همین طور شواهدی ارایه داد که نشان می داد یک مأمور فعال اجرای قانون (که او از اعلام نام و محل کارش خودداری کرد) با گروه در تماس بوده با ارسال درخواست از حساب واقعی خود، درصدی از سود را دریافت کند. او می گوید: «من فقط یک آدرس IP لازم دارم که به سادگی به دست می آورم، و پس از آن، به سرعت به نام، نشانی منزل، ایمیل و شماره موبایل دسترسی دارم. با استفاده از همین اطلاعات می توانم درخواست اضطراری داده (EDR) صادر کنم و اگر احضاریه یا حکم جست وجو داشته باشم، به پیام ها، تماس ها و لاگ ها هم دسترسی پیدا می کنم. این یعنی ظرف چند ساعت، بسته به سرعت پاسخ شرکت، کل زندگی یک نفر در اختیار من است.»
در آمریکا، نهادهای فدرال، ایالتی و محلی برای شناسایی مالک یک حساب یا شماره، به طور معمول احضاریه یا حکم را به شرکت مربوطه ارسال می کنند. این همان روزنه ای است که هکرهایی مثل اکزمپت که خودش را «یک مرد نسل Z ساکن اروپا» معرفی می کند از آن سوءاستفاده می کنند.
در حقیقت تمام شرکتهای بزرگ فعال در آمریکا واحدهای تخصصی دارند که به این درخواست ها رسیدگی می کنند؛ و این درخواست ها اغلب بوسیله ایمیل ارسال می شود. شرکتها بعد از بررسی اولیه و مشاهده ظاهر معتبر سند یا گاهی با یک تماس تلفنی برای تأیید هویت مأمور، به طور معمول همکاری می کنند. اما در «درخواست های اضطراری داده» (EDR)، افسران می توانند در شرایط تهدید فوری جان یا خطر قریب الوقوع، بدون طی مراحل راستی آزمایی معمول درخواست را ارسال نمایند. شرکتها هم به سبب حساسیت موضوع، به طور معمول سریع و بدون سؤال اضافی پاسخ می دهند.
بگفته او، این تکنیک دکسینگ یک کسب و کار پرسود است و ادعا می کند گروهش فقط در ماه آگوست بالاتر از ۱۸ هزار دلار درآمد داشته است. در یک مورد او ۱۲۰۰ دلار بابت دکس کردن فردی دریافت کرده که ظاهراً در پلت فرم بازی آنلاین خودش به اغفال افراد کم سن پرداخته بود.
مشکل یکی از اینجاست که حدود ۱۸ هزار نهاد مجری قانون در آمریکا وجود دارد که هرکدام دامنه ایمیل و قالب اسناد خاص خودرا دارند: از.us و.org گرفته تا.gov و حتی.com. اما هکرها از دو روش استفاده می نمایند، یا حساب واقعی مأموران را که از قبل هک شده اند به کار می گیرند، یا دامنه ای خیلی مشابه دامنه واقعی یک اداره پلیس ایجاد می کنند. اکزمپت درباره ی این که چه طور Charter Communications را گول زده اند توضیح می دهد: «دامنه واقعی اداره کلانتر جکسون ویل jaxsheriff.org است. ما jaxsheriff.us را خریدیم و بعد شماره تماس مان را طوری اسپوف کردیم که وقتی شرکت شماره را جست وجو می کند، به اداره کلانتر برسد. ما حتی از شماره نشان و نام واقعی افسران هم استفاده می نماییم.»
او می گوید برای ساختن اسناد جعلی، متون احضاریه های واقعی را از پرونده های عمومی استخراج کرده و همان قالب و بخش های قانونی را دقیقاً بازتولید می کنند. در تعدادی موارد همین ایمیل و سند جعلی کافی است تا اطلاعات حساس دریافت شود. در یکی از نمونه هایی که اکزمپت نشان داد، گروه توانسته اطلاعات ثبت حساب رسمی تامی رابینسون، فعال راست افراطی بریتانیایی، در پلت فرم Rumble را به دست بیاورد.
وقتی شرکتها تماس تلفنی برای تأیید می گیرند هم امکان دورزدن سیستم وجود دارد. در یک فایل صوتی، نماینده تیم پاسخ گویی آمازون با شماره درج شده در ایمیل تماس گرفته و خود اکزمپت در نقش مأمور پلیس تماس را جواب داده است. آمازون بعداً اعلام نمود که «یک فرد جعل کننده هویت پلیس» را شناسایی و مسدود کرده است. این شرکت گفت تعداد محدودی حساب تحت تأثیر قرار گرفته اند و اقدامات حفاظتی جدیدی اضافه شده است.
در عین حال، دستورالعمل های رسمی برخی شرکتها هم ناخواسته کار را برای هکرها آسان تر می کند. اپل در مستندات خود دقیقاً توضیح داده که چه طور درخواست اضطراری باید ارسال شود. اکزمپت نمونه ای از این درخواست جعلی به اپل و پاسخ اپل، شامل نشانی خانه، شماره موبایل و ایمیل های کاربر آی کلاد را با وایرد به اشتراک گذاشت.
خیلی از شرکتها بازهم درخواست های اضطراری را بوسیله ایمیل دریافت می کنند. حتی شرکت هایی که از پلت فرم های امن مانند Kodex استفاده می نمایند، در صورت هک شدن ایمیل مأموران در معرض خطر هستند. اکزمپت مدعی است مدتی توانسته از این سیستم هم سوءاستفاده کند، هرچند حال دسترسی شان قطع شده است.
او ادعا می کند حال با یک معاون کلانتر (که قبلاً دکس شده) مذاکره می کنند تا در ازای دریافت سهمی از درآمد و حذف اطلاعات دکس شده اش از یک سایت معروف دکسینگ، یا حساب Kodex او را اجاره کنند یا او شخصاً درخواست ها را ارسال نماید. برای اثبات ادعا، اکزمپت تصویری از گفتگوی متنی با آن مأمور عرضه کرده که در آن نوشته: «شما اطلاعات من و خانواده ام را دارید. هنوز دودل هستم، اما اگر این معامله را انجام دهیم، همه مان به چیزی که می خواهیم می رسیم.»
دوناتیو، مدیرعامل Kodex و مأمور سابق FBI، می گوید رفتار غیرعادی مأموران در چنین شرایطی می تواند در سیستم ثبت و ردیابی شود و بطور مداوم بررسی شود. او همین طور می گوید همکاری میان بخش خصوصی و نیروهای قانون «حساس و حیاتی» است و گاهی می تواند مرز میان نجات یک فرد و وقوع تراژدی باشد. اما ضعف سیستم های ارتباطی سنتی مانند ایمیل، فضای خطرناکی برای سوءاستفاده هکرها بوجود آورده است.
منبع: wired
منبع: سایت شیك
این مطلب سایت شیک را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب