Verizon नकली "सर्च वारंट" के झांसे में आया, स्टॉकर को पीड़िता का मोबाइल डेटा दे दिया

 (arstechnica.com)
1 पॉइंट द्वारा GN⁺ 2023-12-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Verizon नकली पुलिस और सर्च वारंट के झांसे में आकर पीड़िता का पता और कॉल रिकॉर्ड स्टॉकर को दे बैठा
  • स्टॉकर Robert Michael Glauner को पीड़िता के घर के पास गिरफ्तार किया गया, और उसके पास उस समय चाकू था
  • Glauner ने पीड़िता के साथ ऑनलाइन रोमांटिक संबंध बनाया था, लेकिन संबंध खत्म होने के बाद भी वह संपर्क करने की कोशिश करता रहा

नकली पुलिस, जज के जाली हस्ताक्षर

  • Glauner ने नकली ईमेल और सर्च वारंट Verizon Security Assistance Team (VSAT) को भेजकर Verizon को धोखा दिया
  • Verizon यह पहचान नहीं पाया कि अनुरोध धोखाधड़ी वाला था, जबकि ईमेल Proton Mail पते से भेजा गया था
  • सर्च वारंट में ऐसे पुलिस अधिकारी का नाम था जो अस्तित्व में ही नहीं था, और उस पर जज के जाली हस्ताक्षर भी थे

Verizon ने पता और कॉल रिकॉर्ड सौंपे

  • नकली दस्तावेज़ों की समीक्षा करने के बाद Verizon ने पीड़िता का पता और कॉल रिकॉर्ड Glauner को दे दिए
  • Verizon की वेबसाइट के अनुसार, VSAT कानूनी अनुरोधों को गोपनीय रूप से संभालती है और सभी लागू कानूनों का पालन करती है
  • Verizon ने कहा कि वह इस मामले में law enforcement के साथ सहयोग कर रही है

GN⁺ की राय

इस लेख का सबसे महत्वपूर्ण बिंदु यह है कि Verizon नकली पुलिस और सर्च वारंट के झांसे में आकर पीड़िता की निजी जानकारी सौंप बैठा. यह घटना privacy protection और कंपनियों की legal request handling systems की कमजोरियों को उजागर करती है, इसलिए यह बहुत से लोगों के लिए दिलचस्प विषय हो सकती है. खासकर cyber security और privacy में रुचि रखने वालों के लिए, यह मामला एक महत्वपूर्ण सीखने योग्य उदाहरण बन सकता है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-12-10
Hacker News राय

  • अदालत के आदेशों की जालसाजी करना बहुत आसान है

    • अमेरिका में 1700 से अधिक काउंटियों में इस्तेमाल होने वाले किसी खास फॉर्म को Verizon या किसी दूसरी कंपनी के लिए पहचान पाना संभव नहीं
    • federal subpoena एकरूप होते हैं और गोपनीय रूप से फाइल किए जाते हैं, इसलिए यह और भी आसान है
    • Verizon क्लर्क के दफ्तर में फोन करके यह सत्यापित नहीं कर सकता कि subpoena जारी हुआ था या नहीं
    • दस्तावेज़ साधारण कॉपी पेपर पर छपे होते हैं और उनमें कोई security feature नहीं होता
    • small claims lawsuit दायर करके subpoena जारी करवाना भी आसान है
    • civil subpoena में criminal subpoena की तुलना में थोड़ा अधिक समय लगता है और service fee देनी पड़ती है, लेकिन यह कोई बड़ी बाधा नहीं

  • Verizon के प्रवक्ता ने कहा कि कंपनी इस मामले में law enforcement के साथ सहयोग कर रही है

  • एक छोटे कम्युनिटी ISP में पार्ट-टाइम काम करने वाले एक व्यक्ति ने बताया कि उसका कानूनी सिस्टम से दो बार सामना हुआ

    • पहली बार अनुरोध मिलने पर उसने सोचा कि इसकी प्रामाणिकता कैसे जांची जाए
    • उसने प्रक्रिया तय की कि वारंट में दिए गए सभी संपर्क विवरणों को नज़रअंदाज़ किया जाए और किसी विश्वसनीय स्रोत (आधिकारिक राज्य वेबसाइट) से नए संपर्क ढूँढकर सत्यापन किया जाए
    • अगर Verizon ने भी यह प्रक्रिया अपनाई होती, तो शायद यह मामला पकड़ा जा सकता था

  • TV शो 'Mr. Robot' में इसी तरह की स्थिति दिखाई गई थी

    • मुख्य किरदार किसी खास व्यक्ति को मोबाइल नंबर के ज़रिए ढूँढने के लिए NYPD fax line का रूप धरता है या उसे intercept करता है, और carrier से डेटा पाने के लिए NYPD द्वारा इस्तेमाल किए जाने वाले दस्तावेज़ जाली बनाता है
    • वह forged fax भेजता है और जवाब का इंतज़ार करता है
    • anonymity बनाए रखने के लिए public Wi‑Fi का इस्तेमाल करता है और NYPD fax number spoof करके उसे और असली जैसा दिखाता है

  • जज के हस्ताक्षर वाले आदेश की वैधता जांचने का मुख्य तरीका उस हस्ताक्षर को देखना है, जिसे आसानी से जाली बनाया जा सकता है

  • ईमेल में Proton Mail का डिफ़ॉल्ट हस्ताक्षर शामिल था: 'Sent with Proton Mail secure email'

    • 'From' फ़ील्ड में शायद यह तुरंत न दिखे, लेकिन यह समझना मुश्किल है कि इससे warning sign क्यों नहीं उठा
    • हो सकता है पुलिस ऐसे कामों के लिए निजी अकाउंट का इस्तेमाल सामान्य रूप से करती हो

  • ऐसे दस्तावेज़ों की जालसाजी बहुत आम है

    • इसे urgency (जीवन-मृत्यु का मामला), कार्रवाई न करने पर कानूनी दायित्व, या खुलासा करने पर जुर्माने जैसे दावों के साथ जोड़ा जाता है
    • अब वकीलों को तय करना पड़ता है कि इससे कैसे निपटा जाए
    • ऐसे मामले शायद सिर्फ हिमशैल का सिरा हैं
    • दस्तावेज़ जाली बनाकर भेजने की लागत लगभग शून्य है, इसलिए इंटरनेट युग में वारंट संभालने का यह तरीका बिल्कुल उपयुक्त नहीं है
    • काफी police department हैक हो चुके हैं, जिससे यथार्थवादी template मिल जाते हैं और कभी-कभी सीधे email access भी
    • इससे हमलावरों के पक्ष में cost/benefit/risk का समीकरण बदल गया है

  • मूल कहानी की पागलपन भरी बातों से अलग, यह जानकर हैरानी हुई कि Hamster.com नाम की porn website के dating feature के ज़रिए लोग मिले थे

    • यह नहीं पता था कि porn site का dating feature scam या phishing attempt के अलावा भी कुछ हो सकता है

  • Verizon जैसी बड़ी कंपनियों के पास law enforcement request का जवाब देने के लिए एक स्पष्ट प्रक्रिया होनी चाहिए

  • लगता है ईमेल पर PGP signature होना चाहिए

  • अपनी माँ की संपत्ति समेटते समय, यह देखकर डर लगा कि दो साधारण दस्तावेज़ों—death certificate और inheritance certificate—की जालसाजी करके, जिनके हस्ताक्षर सत्यापित नहीं किए जा सकते, कितना नुकसान किया जा सकता है

    • सिर्फ स्कैन या फोटो ईमेल करके या फोन पर विनम्रता से बात करके लगभग सब कुछ किया जा सकता है
    • कुछ काम, जैसे bank account बंद करना, व्यक्ति की मौजूदगी और ID से सत्यापन मांगते हैं
    • अगर आपको पता हो कि कौन सा दस्तावेज़ कैसा दिखता है, तो पूरी दुनिया आपके पैरों तले हो सकती है