غول های فناوری آمریکا اطلاعات محرمانه کاربران را به حراج گذاشتند
به گزارش نهایت علم، تنها یک ایمیل یا سند جعلی کافی است تا شرکتهای بزرگ فناوری در آمریکا، محرمانه ترین اطلاعات کاربران را تحویل هکرهایی بدهند که خویش را مأمور قانون جا می زنند؛ این همان روشی است که به ابزاری سودآور برای گروههای «دکسینگ» تبدیل گشته و ضعف سیستم درخواست های اضطراری داده را آشکار کرده است.
تینا مزدکی_وقتی یکی از متخصصان حریم خصوصی در مرکز عملیات پاسخ حقوقی شرکت Charter Communications، روز ۴ سپتامبر یک درخواست اضطراری عرضه کرده را از جانب افسر جیسون کورس از اداره کلانتر جکسون ویل دریافت کرد، تنها چند دقیقه طول کشید تا او اطلاعات نام، نشانی خانه، شماره های تماس و ایمیل هدف را ارسال نماید. اما ایمیل در واقع نه از جانب کورس و نه هیچ یک از کارکنان اداره کلانتر جکسون ویل ارسال نشده بود. فرستنده، یکی از اعضای گروهی هکری بود که به مشتریانی که حاضرند پول بدهند، خدمات «دکسینگِ سفارشی» عرضه می کند و داده های حساس ذخیره شده نزد شرکتهای فناوری آمریکا را به دست می آورد.
«اکزمپت»، یکی از اعضای گروهی که این عملیات را انجام داده اند می گوید: «کل این کار ۲۰ دقیقه زمان برد.» او ادعا می کند گروهشان توانسته از تقریبا تمام شرکتهای بزرگ فناوری آمریکا، همچون اپل و آمازون، و حتی پلت فرم های کوچک تری مانند سایت ویدئویی Rumble که میان اینفلوئنسرهای راست افراطی محبوب است، اطلاعات مشابهی استخراج کند.
این روش فریب شرکتها برای دریافت اطلاعاتی که می تواند به آزار، تهدید و ارعاب قربانیان منجر شود، سال هاست شناخته شده است. اما حالا نحوه فعالیت یکی از این گروههای دکسینگ نشان داده که چرا با وجود هشدارهای مکرر، چنین اتفاقاتی هنوز به صورت گسترده رخ می دهد. حادثه Charter Communications یکی از حدود ۵۰۰ درخواست موفقی است که اکزمپت مدعی است طی سالیان اخیر ارسال کرده است.
برای اثبات ادعایش، او چندین سند و فایل صوتی را یه اشتراک گذاشت، همچون اسکرین شات هایی از ایمیل ها، احضاریه های جعلی، پاسخ شرکتهای فناوری و حتی ویدئویی از مکالمه تلفنی با تیم پاسخ به درخواست های قانونی یکی از شرکتها که درحال بررسی صحت یک درخواست بود.
اکزمپت همینطور شواهدی عرضه داد که نشان می داد یک مأمور فعال اجرای قانون (که او از اعلام نام و محل کارش خودداری کرد) با گروه در تماس بوده با ارسال درخواست از حساب حقیقی خود، درصدی از سود را دریافت کند. او می گوید: «من فقط یک آدرس IP لازم دارم که به سادگی به دست می آورم، و پس از آن، به سرعت به نام، نشانی منزل، ایمیل و شماره موبایل دسترسی دارم. با بهره گیری از همین اطلاعات می توانم درخواست اضطراری داده (EDR) صادر کنم و اگر احضاریه یا حکم جست وجو داشته باشم، به پیام ها، تماس ها و لاگ ها هم دسترسی پیدا می کنم. این یعنی ظرف چند ساعت، بسته به سرعت پاسخ شرکت، کل زندگی یک نفر در اختیار من است.»
در آمریکا، نهادهای فدرال، ایالتی و محلی برای شناسایی مالک یک حساب یا شماره، به طور معمول احضاریه یا حکم را به شرکت مربوطه ارسال می کنند. این همان روزنه ای است که هکرهایی مثل اکزمپت که خودش را «یک مرد نسل Z ساکن اروپا» معرفی می کند از آن سوءاستفاده می کنند.
در حقیقت تمام شرکتهای بزرگ فعال در آمریکا واحدهای تخصصی دارند که به این درخواست ها رسیدگی می کنند؛ و این درخواست ها اغلب از راه ایمیل ارسال می شود. شرکتها بعد از بررسی اولیه و مشاهده ظاهر معتبر سند یا گاهی با یک تماس تلفنی برای تأیید هویت مأمور، به طور معمول همکاری می کنند. اما در «درخواست های اضطراری داده» (EDR)، افسران می توانند در شرایط تهدید فوری جان یا خطر قریب الوقوع، بدون طی مراحل راستی آزمایی معمول درخواست را ارسال نمایند. شرکتها هم به علت حساسیت موضوع، به طور معمول سریع و بدون سؤال اضافی پاسخ می دهند.
به قول او، این شیوه دکسینگ یک کسب و کار پرسود است و ادعا می کند گروهش فقط در ماه آگوست بیشتر از ۱۸ هزار دلار درآمد داشته است. در یک مورد او ۱۲۰۰ دلار بابت دکس کردن فردی دریافت کرده که ظاهراً در پلت فرم بازی آنلاین خودش به اغفال افراد کم سن پرداخته بود.
مشکل یکی از اینجاست که حدود ۱۸ هزار نهاد مجری قانون در آمریکا وجود دارد که هرکدام دامنه ایمیل و قالب اسناد خاص خویش را دارند: از.us و.org گرفته تا.gov و حتی.com. اما هکرها از دو روش استفاده می نمایند، یا حساب حقیقی مأموران را که از قبل هک شده اند به کار می گیرند، یا دامنه ای بسیار مشابه دامنه حقیقی یک اداره پلیس ایجاد می کنند. اکزمپت در رابطه با این که چطور Charter Communications را فریب داده اند توضیح می دهد: «دامنه حقیقی اداره کلانتر جکسون ویل jaxsheriff.org است. ما jaxsheriff.us را خریدیم و بعد شماره تماس مان را طوری اسپوف کردیم که وقتی شرکت شماره را جست وجو می کند، به اداره کلانتر برسد. ما حتی از شماره نشان و نام حقیقی افسران هم استفاده می نماییم.»
او می گوید برای ساختن اسناد جعلی، متون احضاریه های حقیقی را از پرونده های عمومی استخراج کرده و همان قالب و بخش های قانونی را دقیقا بازتولید می کنند. در تعدادی موارد همین ایمیل و سند جعلی کافی است تا اطلاعات حساس دریافت شود. در یکی از نمونه هایی که اکزمپت نشان داد، گروه توانسته اطلاعات ثبت حساب رسمی تامی رابینسون، فعال راست افراطی بریتانیایی، در پلت فرم Rumble را به دست بیاورد.
وقتی شرکتها تماس تلفنی برای تأیید می گیرند هم امکان دورزدن سیستم وجود دارد. در یک فایل صوتی، نماینده تیم پاسخ گویی آمازون با شماره درج شده در ایمیل تماس گرفته و خود اکزمپت در نقش مأمور پلیس تماس را جواب داده است. آمازون بعداً اعلام نمود که «یک فرد جعل کننده هویت پلیس» را شناسایی و مسدود کرده است. این شرکت گفت تعداد محدودی حساب تحت تاثیر قرار گرفته اند و اقدامات حفاظتی جدیدی اضافه شده است.
در عین حال، دستورالعمل های رسمی برخی شرکتها هم ناخواسته کار را برای هکرها آسان تر می کند. اپل در مستندات خود دقیقا توضیح داده که چطور درخواست اضطراری باید ارسال شود. اکزمپت نمونه ای از این درخواست جعلی به اپل و پاسخ اپل، شامل نشانی خانه، شماره موبایل و ایمیل های کاربر آی کلاد را با وایرد به اشتراک گذاشت.
خیلی از شرکتها همچنان درخواست های اضطراری را از راه ایمیل دریافت می کنند. حتی شرکت هایی که از پلت فرم های امن مانند Kodex استفاده می نمایند، در صورت هک شدن ایمیل مأموران در معرض خطر هستند. اکزمپت مدعی است مدتی توانسته از این سیستم هم سوءاستفاده کند، هرچند حالا دسترسی شان قطع شده است.
او ادعا می کند حالا با یک معاون کلانتر (که قبلاً دکس شده) مذاکره می کنند تا در ازای دریافت سهمی از درآمد و حذف اطلاعات دکس شده اش از یک سایت معروف دکسینگ، یا حساب Kodex او را اجاره کنند یا او شخصاً درخواست ها را ارسال نماید. برای اثبات ادعا، اکزمپت تصویری از گفتگوی متنی با آن مأمور عرضه کرده که در آن نوشته: «شما اطلاعات من و خانواده ام را دارید. هنوز دودل هستم، اما اگر این معامله را انجام دهیم، همه مان به چیزی که می خواهیم می رسیم.»
دوناتیو، مدیرعامل Kodex و مأمور سابق FBI، می گوید رفتار غیرعادی مأموران در چنین شرایطی می تواند در سیستم ثبت و ردیابی شود و به صورت مداوم بررسی شود. او همین طور می گوید همکاری میان بخش خصوصی و نیروهای قانون «حساس و حیاتی» است و گاهی می تواند مرز میان نجات یک فرد و وقوع تراژدی باشد. اما ضعف سیستم های ارتباطی سنتی مانند ایمیل، فضای خطرناکی برای سوءاستفاده هکرها بوجود آورده است.
منبع: wired
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب