Verizon fällt auf gefälschten „Durchsuchungsbefehl“ herein und gibt Handy-Daten eines Opfers an Stalker weiter

(arstechnica.com)

1 Punkte von GN⁺ 2023-12-10 | 1 Kommentare | Auf WhatsApp teilen

Verizon wurde von einem falschen Polizisten und einem gefälschten Durchsuchungsbefehl getäuscht und gab die Adresse sowie Anrufprotokolle des Opfers an einen Stalker weiter
Der Stalker Robert Michael Glauner wurde in der Nähe des Hauses des Opfers festgenommen und hatte dabei ein Messer bei sich
Glauner hatte mit dem Opfer eine romantische Online-Beziehung, versuchte aber auch nach dem Ende der Beziehung weiter Kontakt aufzunehmen

Falscher Polizist, gefälschte Richterunterschrift

Glauner täuschte Verizon, indem er dem Verizon Security Assistance Team (VSAT) gefälschte E-Mails und einen gefälschten Durchsuchungsbefehl schickte.
Obwohl die E-Mail von einer Proton Mail-Adresse gesendet wurde, erkannte Verizon nicht, dass es sich bei der Anfrage um Betrug handelte
Der Durchsuchungsbefehl enthielt den Namen eines nicht existierenden Polizeibeamten sowie eine gefälschte Richterunterschrift

Verizon gibt Adresse und Anrufprotokolle heraus

Nach Prüfung der gefälschten Dokumente gab Verizon die Adresse und Anrufprotokolle des Opfers an Glauner weiter.
Laut der Verizon-Website bearbeitet VSAT rechtliche Anfragen vertraulich und unter Einhaltung aller geltenden Gesetze
Verizon erklärte, man arbeite in dem Fall mit den Strafverfolgungsbehörden zusammen

Meinung von GN⁺

Der wichtigste Punkt dieses Artikels ist, dass Verizon durch einen falschen Polizisten und einen gefälschten Durchsuchungsbefehl zur Herausgabe persönlicher Informationen eines Opfers verleitet wurde. Solche Vorfälle machen Schwachstellen beim Datenschutz und in den Systemen von Unternehmen zur Bearbeitung rechtlicher Anfragen sichtbar, was für viele Menschen ein interessantes Thema sein kann. Besonders für Personen mit Interesse an Cybersecurity und Datenschutz kann dieser Fall ein wichtiges Lehrbeispiel sein.

1 Kommentare

GN⁺ 2023-12-10

Hacker-News-Kommentar

Gerichtsbeschlüsse zu fälschen ist sehr einfach
- Es gibt keine Möglichkeit für Verizon oder andere Unternehmen zu wissen, welches konkrete Formular in mehr als 1700 Countys in den USA verwendet wird
- Bundesvorladungen sind vereinheitlicht und werden nicht öffentlich eingereicht, was es noch einfacher macht
- Verizon kann nicht einfach beim Büro des Gerichtsschreibers anrufen, um zu prüfen, ob eine Vorladung ausgestellt wurde
- Die Dokumente werden auf einfachem Kopierpapier gedruckt und haben keine Sicherheitsmerkmale
- Es ist auch leicht, eine Klage vor dem Gericht für Bagatellforderungen einzureichen, um eine Vorladung zu erhalten
- Zivilrechtliche Vorladungen dauern etwas länger als strafrechtliche Vorladungen und man muss die Zustellung bezahlen, aber das ist kein großes Hindernis
Ein Verizon-Sprecher erklärte, man arbeite in diesem Fall mit den Strafverfolgungsbehörden zusammen
Jemand, der nebenbei bei einem kleinen Community-ISP arbeitet, hatte zweimal mit dem Rechtssystem zu tun
- Als die erste Anfrage kam, überlegte die Person, wie die Echtheit zu prüfen sei
- Das Verfahren wurde so festgelegt, dass alle Kontaktinformationen im Beschluss ignoriert und neue Kontaktdaten aus einer vertrauenswürdigen Quelle (offizielle Website des Bundesstaats) gesucht und zur Verifizierung genutzt werden
- Hätte Verizon dieses Verfahren ebenfalls übernommen, hätte man diesen Fall wohl erkennen können
In der TV-Serie "Mr. Robot" wird ein ähnlicher Fall dargestellt
- Der Protagonist gibt sich als NYPD-Faxleitung aus oder kapert sie, um anhand einer Mobilnummer eine bestimmte Person aufzuspüren, und fälscht Dokumente, die das NYPD nutzt, um Daten vom Mobilfunkanbieter zu erhalten
- Er sendet das gefälschte Fax und wartet auf eine Antwort
- Er nutzt öffentliches WLAN, um anonym zu bleiben, und fälscht die NYPD-Faxnummer, damit es authentischer wirkt
Die wichtigste Methode, die Gültigkeit eines von einem Richter unterschriebenen Beschlusses zu prüfen, besteht darin, eine Unterschrift anzusehen, die sich leicht fälschen lässt
Die E-Mail enthielt die Proton-Mail-Standardsignatur "Sent with Proton Mail secure email"
- Im Feld "Von" fällt das vielleicht nicht auf, aber es ist fraglich, wie das kein Warnsignal auslösen konnte
- Vielleicht ist es im Polizeialltag üblich, solche Dinge über private Konten abzuwickeln
Solche Dokumente werden sehr häufig gefälscht
- Kombiniert wird das mit Dringlichkeit (eine Frage von Leben und Tod), Hinweisen auf rechtliche Haftung bei Nichtbearbeitung oder Geldstrafen bei Offenlegung
- Die Rechtsabteilung muss dann entscheiden, wie damit umzugehen ist
- Solche Fälle sind wahrscheinlich nur die Spitze des Eisbergs
- Da das Fälschen und Verschicken solcher Dokumente fast nichts kostet, ist diese Art der Bearbeitung von Durchsuchungsbeschlüssen im Internetzeitalter völlig ungeeignet
- Genug Polizeidienststellen wurden gehackt, um realistische Vorlagen zu beschaffen und manchmal sogar direkten E-Mail-Zugriff zu bekommen
- Das Verhältnis von Kosten, Nutzen und Risiko verschiebt sich zugunsten der Angreifer
Abgesehen vom Wahnsinn der eigentlichen Geschichte überrascht vor allem, dass sich der Fall über die Dating-Funktion der Pornowebsite Hamster.com entwickelte
- Mir war nicht klar, dass die Dating-Funktionen von Pornoseiten nicht einfach nur Betrug oder Phishing-Versuche sind
Große Unternehmen wie Verizon sollten ein klar definiertes Verfahren haben, um auf Anfragen von Strafverfolgungsbehörden zu reagieren
E-Mails sollten wohl mit PGP signiert sein
Beim Ordnen des Nachlasses meiner Mutter war es erschreckend zu sehen, wie viel Schaden man mit zwei einfachen Dokumenten ohne überprüfbare Unterschrift anrichten könnte (Sterbeurkunde und Erbschein)
- Fast alles lässt sich erledigen, indem man einen Scan oder ein Foto per E-Mail schickt oder freundlich am Telefon spricht
- Für einige Vorgänge, etwa das Schließen von Bankkonten, ist persönliches Erscheinen und Identitätsprüfung erforderlich
- Wenn man nur weiß, wie bestimmte Dokumente aussehen, liegt einem die Welt zu Füßen