- टेलीकॉम कंपनी की कानून-प्रवर्तन अनुरोध प्रक्रिया में सेंध लगने से Verizon Wireless ने पुलिस अधिकारी बनकर संपर्क करने वाले व्यक्ति को पीड़िता का पता और कॉल रिकॉर्ड सौंप दिए
- Robert Michael Glauner ने Proton Mail address और नकली सर्च वारंट के जरिए पीड़िता की जानकारी मांगी, और Verizon पुलिस स्टेशन या सरकारी एजेंसी के domain से न आने वाले अनुरोध को फ़िल्टर नहीं कर पाया
- जाली दस्तावेज़ में Cary पुलिस विभाग के ऐसे “Detective Steven Cooper” का नाम था जो मौजूद ही नहीं था, साथ ही एक वास्तविक जज के नकली हस्ताक्षर थे, और इसमें North Carolina सर्च वारंट के लिए जरूरी AOC-CR-119 form भी नहीं था
- Verizon ने 5 अक्टूबर 2023 को जानकारी देने के बाद, Glauner ने पीड़िता के परिवार और workplace से बार-बार संपर्क किया और पीड़िता को धमकी भरे messages भेजे
- अगर संवेदनशील subscriber data एक ही जाली अनुरोध से लीक हो जाए, तो online stalking भौतिक खतरे में बदल सकती है
नकली कानून-प्रवर्तन अनुरोध से लीक हुई Verizon subscriber जानकारी
- Verizon Wireless ने पुलिस अधिकारी का रूप धारण करने वाले Robert Michael Glauner को महिला पीड़िता का पता और फोन रिकॉर्ड दिए
- Glauner को बाद में पीड़िता के घर के पास गिरफ्तार किया गया, और उस समय उसके पास चाकू था
- पता चला कि पीड़िता का पता जानने के बाद वह New Mexico से North Carolina के Raleigh गया था
- पहुंचने से पहले उसने पीड़िता को “if I can’t have you no one can” वाला धमकी भरा message भेजा था, और उस पर पीड़िता की नग्न तस्वीरें उसके परिवार को भेजने की धमकी देने का भी आरोप है
- Glauner पर North Carolina के Eastern District federal court में stalking और “confidential telephone records प्राप्त करने से संबंधित” fraud के आरोप लगाए गए
- इस मामले को पहले 404 Media ने कवर किया था
ऑनलाइन संबंध खत्म होने के बाद भी जारी संपर्क
- Glauner और पीड़िता अगस्त या सितंबर 2023 में dating feature वाली porn site xhamster.com पर मिले और उनका online romantic relationship बना
- पीड़िता द्वारा संबंध खत्म करने के बाद भी Glauner लगातार संपर्क करता रहा या संपर्क करने की कोशिश करता रहा
- Verizon को भेजा गया अनुरोध Verizon Security Assistance Team(VSAT) के email address
vsat.cct@one.verizon.comपर भेजा गया - VSAT legal requests संभालने वाली organization है, और Verizon की website बताती है कि वह court orders, search warrants, subpoenas जैसी legal demands को confidentially handle करती है और संबंधित कानूनों का पालन करती है
- उसी page पर यह भी बताया गया है कि VSAT records requests के लिए केवल वैध legal demands स्वीकार करती है
नकली पुलिस अधिकारी और जाली सर्च वारंट
- 26 सितंबर 2023 को
steven1966c@proton.meaddress से Verizon को email भेजा गया- email में लिखा था कि search warrant PDF संलग्न है, और “संदिग्ध को ढूंढकर गिरफ्तार करने के लिए” cell phone data चाहिए
- इसमें पीड़िता का पूरा Verizon subscriber name और नया assigned phone number भी मांगा गया
- संलग्न document में Cary, North Carolina पुलिस विभाग के “Detective Steven Cooper” द्वारा तैयार की गई जैसा दिखाया गया नकली affidavit शामिल था
- Cary पुलिस विभाग ने पुष्टि की कि Steven Cooper नाम का कोई अधिकारी उनके यहां नहीं है
- उसी दिन VSAT को खुद को Cooper बताने वाले एक पुरुष का phone call आया
- उसने कहा कि उसे हत्या के मामले के संदिग्ध के बारे में जानकारी चाहिए
- उसने यह भी कहा कि संबंधित व्यक्ति ने phone number बदल लिया है
- नकली affidavit में नया phone number, incoming और outgoing call records, location information, और incoming और outgoing text messages मांगे गए
- document में दिखाया गया कि Superior Court Judge Gale Adams ने search warrant को approve किया है
- Adams वास्तविक जज हैं, लेकिन उन्होंने पुष्टि की कि document पर किया गया signature उनका नहीं है
- उस “search warrant” में North Carolina state search warrant के लिए जरूरी AOC-CR-119 form भी नहीं था
Verizon द्वारा दिया गया data और बाद की अतिरिक्त मांगें
- Verizon ने “Cooper” द्वारा भेजे गए email और documents की review के बाद 5 अक्टूबर 2023 को पीड़िता के phone records उपलब्ध करा दिए
- दिए गए records में पता और call records शामिल थे
- Verizon ने इस मामले पर पूछताछ का तुरंत जवाब नहीं दिया, और Verizon के spokesperson ने 404 Media से कहा कि कंपनी law enforcement के साथ सहयोग कर रही है
- 9 अक्टूबर को VSAT को फिर “Officer Cooper” का phone call आया
- caller ने पूछा कि data कैसे पढ़ा जाए
- recorded call के अनुसार पुष्टि हुई कि Glauner ने Verizon Wireless से records प्राप्त किए थे
- caller ने कहा कि subscriber ने phone number बदल लिया है और उसने नया number हासिल कर लिया है
- उस समय यह संभावना भी बनी रही कि Glauner वास्तव में नया phone number हासिल नहीं कर पाया था
- VSAT को इसके बाद भी पीड़िता के number और अन्य जानकारी मांगने वाले emails मिलते रहे
- एक और “search warrant” में उस number के GPS coordinates और भेजी-प्राप्त सभी photos मांगी गईं
पीड़िता के परिवार और workplace तक फैला संपर्क
- 13 अक्टूबर 2023 को पीड़िता की मां को एक voice message मिला कि Glauner पीड़िता से संपर्क करना चाहता है
- 13 अक्टूबर से 22 अक्टूबर तक पीड़िता की मां को Glauner के 10 voice messages मिले
- messages में कहा गया था कि जब तक वह पीड़िता से संपर्क नहीं कर लेता, वह नहीं रुकेगा
- 16 अक्टूबर को पीड़िता के पिता को पीड़िता की photo और “Do you know this girl?” text वाला message मिला
- पता चला कि Glauner ने Raleigh में पीड़िता के workplace पर भी बार-बार calls किए
- 15 अक्टूबर को पीड़िता के पते जैसा दिखने वाली जगह के लिए welfare check का emergency report किया गया, और मौके पर पहुंचे police ने उस report को false माना
- 23 अक्टूबर को police ने उस phone number से जुड़े Google account के लिए search warrant हासिल किया जिसका इस्तेमाल “Officer Cooper” ने Verizon से संपर्क करते समय किया था
- police ने यह भी पुष्टि की कि Glauner अपनी former girlfriend की stalking के आरोप में San Diego Sheriff’s Office द्वारा wanted था
- California case की police report में पीड़िता ने कहा था कि “पिछले 4 महीनों में उसने अपना phone number 4 बार बदला, लेकिन किसी तरह Glauner लगातार number पता कर लेता था”
North Carolina पहुंचते ही गिरफ्तारी
- 26 अक्टूबर को North Carolina की पीड़िता ने दोस्तों, परिवार और employer को आने वाले calls कम करने के लिए Tracphone लिया और Glauner को वह number बता दिया
- 5 नवंबर को पीड़िता ने बताया कि उसे message मिला है कि Glauner North Carolina आ रहा है
- लंबे text में gun और ammunition हासिल करने की बात और “if I can’t have you no one can” वाली धमकी शामिल थी
- अपनी जान और सुरक्षा की चिंता में पीड़िता ने New Mexico से Raleigh जा रहे Glauner की location information law enforcement को दी
- 6 नवंबर को police ने Glauner के खिलाफ arrest warrant हासिल किया
- आरोपों में पीड़िता की nude images परिवार को सार्वजनिक करने की धमकी देकर extortion, stalking, cyberstalking और threatening communications शामिल थे
- police ने उस address की निगरानी की जहां Glauner जा रहा था, जबकि पीड़िता और उसका परिवार शाम के दौरान घर से बाहर रहे
- Glauner 6 नवंबर रात करीब 9 बजे New Mexico license plate वाली Jeep Cherokee में पहुंचा और गिरफ्तार कर लिया गया
- वह उस address के ठीक सामने रुका, फिर पड़ोसी के yard में जाकर अंधेरे में खड़ा हो गया
- गिरफ्तारी के दौरान तलाशी में एक काला folding razor knife और 2 cell phones मिले
- एक phone की lockscreen पर पीड़िता की image दिख रही थी, और screen पर “Victim 1” से आया text notification दिख रहा था
- Jeep Cherokee की तलाशी में glass meth pipe, methamphetamine जैसा संदेह होने वाला 8g पदार्थ, और plastic wrapping में नई rope bundles के 2 सेट मिले
- Glauner पर North Carolina के आरोपों के अलावा California के pending warrant के कारण Fugitive from Justice का आरोप भी लगाया गया, और उसे Wake County Jail में 550,000 डॉलर bail पर हिरासत में रखा गया
1 टिप्पणियां
Hacker News रायें
न्यायिक आदेश की जालसाजी बहुत आसान है। Verizon या किसी दूसरी कंपनी के पास यह जानने का कोई तरीका नहीं कि अमेरिका की 1,700 से ज्यादा काउंटियों में से किसी खास काउंटी में कौन सा फॉर्म इस्तेमाल होता है
Federal subpoena और भी आसान है, क्योंकि उसका फॉर्म एक जैसा होता है और वह सीलबंद तरीके से दायर होता है। Verizon कोर्ट क्लर्क के ऑफिस में फोन करके यह भी नहीं पूछ सकता, “क्या grand jury ने सच में subpoena जारी किया था?” और दस्तावेज साधारण कॉपी पेपर पर होता है, जिसमें कोई सुरक्षा फीचर नहीं होता। अगर यह बात फैल गई तो लगता है ऐसे मामले और बढ़ेंगे। Small claims case दायर करके subpoena जारी करवाना भी काफी आसान है, और आम तौर पर उस subpoena को रद्द करवाने के लिए आगे आने वाला कोई नहीं होता। Civil subpoena में criminal subpoena से थोड़ा ज्यादा समय लगता है और service fee भी देनी पड़ती है, लेकिन यह कोई बड़ी बाधा नहीं है
मेडिकल क्षेत्र में भी ऐसा होता है, और नकली अनुरोध का जवाब देने पर सजा कहीं ज्यादा बड़ी होती है, इसलिए healthcare staff को ऐसी verification process करने की ट्रेनिंग दी जाती है। HIPAA इस बात पर रियायत नहीं देता कि किसी को धोखा देकर HIPAA जानकारी खुलवाई गई थी या नहीं
https://www.hipaaexams.com/blog/medical-record-subpoena
यानी किसी telecom company को निजी communication data सौंपने का निर्देश देने वाला आधिकारिक आदेश, जारी करने वाली संस्था की public key से आसानी से verify की जा सकने वाली digitally signed file नहीं, बल्कि पतली लकड़ी की लुगदी पर pigment लगा हुआ एक रूप लेकर भेजा जाता है?
subpoena को quash कराने के लिए अर्जी देने वाला हमेशा कोई होता है। वही recipient। आम तौर पर recipient और opposing party, ये दो लोग कर सकते हैं। Federal subpoena में quash करने की प्रक्रिया के नियम subpoena पर ही लिखे होते हैं
https://www.uscourts.gov/sites/default/files/ao088b.pdf
साथ ही, phone records हासिल करने पर लागू हो सकने वाले कानून और precedents बहुत सारे हैं। क्या मांगा गया है, इस पर निर्भर करता है कि subpoena की जरूरत भी न हो
उम्मीद है कि identification number और मुख्य details भी verify हो सकेंगी, लेकिन मैं अमेरिकी नहीं, सिर्फ जर्मन legal system जानता हूं, इसलिए पक्के तौर पर नहीं कह सकता
Verizon अंदर से इसे कैसे संभालता है, मुझे नहीं पता, लेकिन FAANG में से एक कंपनी के “law enforcement request response department” में काम करने वाला मेरा एक दोस्त है। उस कंपनी को information देने के लिए कानूनी requests बहुत बड़ी संख्या में मिलते हैं, fake requests भी बहुत आते हैं, और असली government agencies से आए लेकिन संदिग्ध लगने के कारण challenge किए जाने वाले requests भी बहुत होते हैं। इसलिए वे बेहद detailed processes और technology के साथ respond करते हैं। Verizon अमेरिका की सबसे बड़ी mobile carrier है, तो उसके पास इस क्षेत्र में पूरी तरह बेढंगा तमाशा न दिखने लायक क्षमता तो होनी ही चाहिए
Verizon ने “हम इस मामले में law enforcement के साथ सहयोग कर रहे हैं” जैसी घिसी-पिटी प्रतिक्रिया जस की तस जारी कर दी, शायद इस बार उसे थोड़ा अलग तरीके से एडिट करना चाहिए था
असल में हंसने की बात नहीं है, लेकिन फिर भी यह काफी मजेदार है। मैं एक छोटे local ISP में side gig करता हूं, और दो बार legal requests handle कर चुका हूं। जब पहला request मिला तो समझ नहीं आ रहा था कि उसे authenticate कैसे करें, और हमारी process यह बनी कि warrant पर लिखे सभी contact details को ignore करके भरोसेमंद स्रोतों से नए contact details खोजें और phone से confirm करें। दोनों बार वे state की official website से मिले। Verizon भी यही process अपनाता तो यह मामला पकड़ में आ जाता। क्योंकि Cary Police Department ने confirm किया था कि Steven Cooper नाम का कोई police officer नहीं है
हैरानी की बात है कि किसी आदेश को judge ने approve किया है या नहीं, इसकी पुष्टि करने का मुख्य तरीका आसानी से forge की जा सकने वाली signature verification है
कई stalkers सचमुच डरावनी हरकतें करने के बावजूद जेल की सजा नहीं पाते। हालांकि states में काफी अंतर है, और आश्चर्यजनक रूप से हर state में यह felony नहीं है; कम से कम एक state में तो felony बनने के लिए यह intent होना चाहिए कि दिए गए authority से फायदा उठाया जाए
कोर्ट वेबसाइट पर authentication जानकारी खोजने देने वाला password लिखा कागज, email, या online authentication संभव बनाने वाला automated phone number या email address ही काफी होता
Mr. Robot नाम के TV drama में इससे मिलता-जुलता एक scene धुंधला-सा याद है
उन्हें mobile number से किसी person of interest को ढूंढने का काम मिला था, और लगता है उन्होंने NYPD fax line को spoof या intercept किया था। Telecom company से data पाने के लिए NYPD द्वारा इस्तेमाल किए जाने वाले documents forge करके fax भेजते और reply का इंतजार करते थे। Proton Mail address से forged documents भेजने की तुलना में यह निश्चित रूप से ज्यादा elegant है, लेकिन आखिर तरीका वही है
मिल गया: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
देखने पर लगता है anonymity बनाए रखने के लिए उन्होंने public Wi-Fi इस्तेमाल किया, और ज्यादा credible दिखने के लिए NYPD fax number spoof किया। यह drama फिर से देखना पड़ेगा
हैरानी की बात है कि ईमेल में Proton का डिफ़ॉल्ट सिग्नेचर “sent with Proton Mail secure email” तक मौजूद था। मान लें कि sender फ़ील्ड में वे पकड़ नहीं पाए, फिर भी समझना मुश्किल है कि यह खतरे का संकेत क्यों नहीं लगा
अगर जवाब यह हो कि पुलिस ऐसे कामों में निजी accounts नियमित रूप से इस्तेमाल करती है, तो भी आश्चर्य नहीं होगा
असली केस की बेतुकापन से अलग, मुझे सबसे ज्यादा हैरान करने वाली बात यह लगी कि पीड़ित और Glauner की मुलाकात hamster.com नाम की dating feature वाली porn site पर हुई और उन्होंने online romantic relationship बनाया
मुझे नहीं पता था कि porn site का dating feature अपने-आप में scam या phishing attempt न भी हो सकता है
ऐसी जालसाजी बहुत आम है
खासकर अगर इसमें urgent होने का दबाव जोड़ दिया जाए—यानी जीवन-मृत्यु का मामला—और यह बताया जाए कि जल्दी कार्रवाई न करने पर कौन से कानून और दंड लागू होंगे, साथ में यह भी कि इसे disclose नहीं किया जा सकता और उसके लिए भी कानून व दंड हैं, तो यह और असरदार हो जाता है। अब किसी बेचारे वकील को तय करना पड़ता है कि क्या किया जाए। जो मामले सामने आते हैं वे सिर्फ हिमखंड की नोक हैं, असली पैमाना इससे कहीं बड़ा मानना चाहिए
Verizon या दूसरे संस्थानों को दोष देने का मन होता है, लेकिन मुख्य बात यह है कि ऐसे warrants को process करने का तरीका internet युग के लिए बिल्कुल उपयुक्त नहीं है। जालसाजी आम तौर पर अपराध होती थी, इसलिए कागजी डाक से warrant भेजना कुछ हद तक सुरक्षित था। क्योंकि return address वगैरह से अपराधी को trace किया जा सकता था। लेकिन internet पर स्थिति बदल जाती है। किसी दूसरे देश में बैठा या लगभग anonymous व्यक्ति लगभग शून्य लागत पर fake warrant बनाकर भेज सकता है। realistic forms किसी hacked police station से आसानी से मिल सकते हैं, और कभी-कभी email access भी मिल सकता है। cost-benefit-risk का संतुलन attacker के पक्ष में हो गया है, और ज्यादातर देशों का ऐसी requests को और तेज process करने की कोशिश करना भी मददगार नहीं है
आगे चलकर AI की वजह से अपराधी ऐसे scams के हर पहलू की इतनी अच्छी नक़ल कर पाएंगे कि यकीन करना मुश्किल होगा
इसमें forms, fake law schools, fake school websites, fake legal websites, fake reviews जैसी चीजें सब शामिल होंगी। किसी छोटी-सी चीज को verify करने में भी越来越 ज्यादा resources लगेंगे
इसी वजह से जब आप personal information देने से मना करते हैं तो लोग आपको अजीब नजरों से देखते हैं
लगता है ऐसे emails पर PGP signature होना चाहिए
अगर S/MIME कहा होता तो X.509 certificate authority system होता, इसलिए वह सच में समझ में आता। लेकिन web of trust (WoT) इस्तेमाल करने वाला PGP यहां पूरी तरह गलत tool है