Son yıllarda, hale geldi endişe verici derecede rutin kolluk kuvvetlerinin kullanıcı verileri için teknoloji platformlarını mahkemeye çağırması – bazı eleştirmenlerin istilacı olarak gördüğü bir uygulama gizlilik ihlali. Suçlular not alıyor ve şimdi onlar da yapıyor.
Güvenlik blog yazarı Brian Krebs raporlar bilgisayar korsanlarının kanun uygulayıcı e-posta hesaplarını ele geçirdiğini ve bunları teknoloji şirketlerine sahte veri talepleri göndermek için kullandığını. Bu hile işe yarıyor – gözü dönmüş firmalar, kullanıcı bilgilerini kazara dolandırıcılara devretti.
Krebs, siber suçluların isimsiz bir kolluk kuvvetinin e-posta hesabını ele geçirdiği yakın tarihli bir olayı detaylandırıyor. Hackerlar o zaman hesabı kullandı Indiana’dan 18 yaşındaki bir kullanıcı hakkında bilgi isteyen sohbet platformu Discord’a bir veri talebi göndermek için. Anlaşmazlık bunun için düştü ve verileri çatalladı.
Bir Discord temsilcisi Gizmodo’ya “Bu taktik, teknoloji endüstrisinde önemli bir tehdit oluşturuyor” dedi.
Discord, şirketin bir polisin ele geçirilmiş e-posta hesabını kullanarak yanlışlıkla “kötü niyetli bir oyuncuya” veri sağladığını doğruladı:
“Discord’un meşru bir kanun uygulama alanından talep aldığını ve politikalarımıza uygun olarak taleplere uyduğunu onaylayabiliriz. Bu istekleri, gerçek bir kaynaktan geldiklerini kontrol ederek doğrularız ve bu durumda bunu yaptık. Doğrulama sürecimiz, kolluk kuvvetleri hesabının kendisinin meşru olduğunu doğrulasa da daha sonra, kötü niyetli bir aktör tarafından güvenliğinin ihlal edildiğini öğrendik. O zamandan beri bu yasa dışı faaliyetle ilgili bir soruşturma yürüttük ve güvenliği ihlal edilen e-posta hesabı hakkında emniyet teşkilatına bilgi verdik.”
Suçluların bu yenilikçi istismardan kurtulmanın yolu, Acil Veri Talebi veya EDR adı verilen özel bir tür hükümet mahkeme celbinden yararlanmaktır. Bu tür celpler, bilgilerin hemen gerekli olduğu ve mahkeme onayının gecikmesinin ciddi sonuçlara yol açacağı ölüm kalım senaryolarında dosyalanır. Bu nedenle, EDR’ler, şirketlerin normal veri talepleriyle gerçekleştirmesi beklenen tipik dahili incelemeyi gerektirmez. Adalet Bakanlığı eski savcısı Mark Rasch, Krebs’e söyledi bir EDR’nin “neredeyse gördüğünüz gibi acil durum süreci” anlamına geldiğini Yasa ve Düzenbelirli bilgilere hemen ihtiyaçları olduğunu söylediklerinde ”ve teknoloji şirketleri görev bilinciyle yanıt verme eğilimindedir.
Sahte EDR’ler, ortak bir taktiğin yeni bir kullanımıdır—bir e-posta adresinin kimliğine bürünme. Krebs, güvenliği ihlal edilmiş polis e-posta hesaplarının Dark Web’de sıklıkla satışa çıkarıldığını bildiriyor. Bu enayilerden birini satın alın ve bir bilgisayar korsanı iş başında.
Bilgisayar korsanları neden verileri polisleri yanıltacak kadar çok istiyorlar? Bir bilgisayar korsanı kaynağı Krebs’e, siber suçluların kurbanlarına karşı “izleme, bilgisayar korsanlığı, taciz ve alenen aşağılama” kampanyaları yürütmek için verileri ele geçirmek için EDR isteklerini kullanmanın giderek daha tipik hale geldiğini söyledi.
Krebs’in hikayesinin yayınlanmasının ardından, yeni bir Taslak EDR’ler hakkında Wikipedia’da yer aldı ve yasal mekanizmanın yaygın olarak bilinmediğini gösterdi. Her iki polisin de olma ihtimali var mı? ve suçlular verilerimizi toplamayı bırakabilir mi? Sadece bir düşünce.