Verizon cayó en una falsa "orden de cateo" y entregó los datos del teléfono de la víctima a un acosador

 (arstechnica.com)
1 puntos por GN⁺ 2023-12-10 | 1 comentarios | Compartir por WhatsApp
  • Verizon fue engañada por un falso policía y una orden de cateo falsa, y entregó la dirección y el registro de llamadas de la víctima al acosador
  • El acosador, Robert Michael Glauner, fue arrestado cerca de la casa de la víctima y en ese momento llevaba un cuchillo
  • Glauner había mantenido una relación romántica en línea con la víctima, pero siguió intentando contactarla incluso después de que la relación terminó

Falso policía, firma de juez falsificada

  • Glauner engañó a Verizon enviando correos electrónicos falsos y una orden de cateo falsa al equipo de soporte de seguridad de Verizon (VSAT).
  • Verizon no detectó que la solicitud era fraudulenta, aunque el correo había sido enviado desde una dirección de Proton Mail
  • La orden de cateo incluía el nombre de un policía inexistente y una firma de juez falsificada

Verizon entregó la dirección y el registro de llamadas

  • Después de revisar los documentos falsos, Verizon entregó a Glauner la dirección y el registro de llamadas de la víctima.
  • Según el sitio web de Verizon, VSAT gestiona de forma confidencial los requerimientos legales y cumple con todas las leyes aplicables
  • Verizon declaró que está cooperando con las autoridades en relación con el caso

La opinión de GN⁺

Lo más importante de este artículo es el caso en el que Verizon fue engañada por un falso policía y una orden de cateo falsa para entregar la información personal de una víctima. Este tipo de incidente deja en evidencia las vulnerabilidades en la protección de datos personales y en los sistemas corporativos para procesar solicitudes legales, lo que puede ser un tema de interés para muchas personas. En particular, para quienes se interesan en la ciberseguridad y la privacidad, este caso puede servir como un ejemplo importante de aprendizaje.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-12-10
Opiniones de Hacker News

  • Falsificar órdenes judiciales es muy fácil

    • Verizon u otra empresa no tiene forma de saber qué formulario específico usan más de 1700 condados en Estados Unidos
    • Las citaciones federales están estandarizadas y se presentan de forma no pública, así que es aún más fácil
    • Verizon no puede llamar a la oficina del secretario para verificar si la citación fue emitida
    • Los documentos están impresos en papel común y no tienen características de seguridad
    • También es fácil presentar una demanda de menor cuantía para conseguir que se emita una citación
    • Las citaciones civiles tardan un poco más que las penales y hay que pagar el costo de notificación, pero eso no sería un problema

  • Un vocero de Verizon dijo que está cooperando con las fuerzas del orden sobre este caso

  • Una persona que trabaja medio tiempo en un ISP comunitario pequeño tuvo contacto con el sistema legal en dos ocasiones

    • Cuando recibió la primera solicitud, se preguntó cómo debía verificar si era auténtica
    • El procedimiento que definió fue descartar toda la información de contacto de la orden y buscar nuevos datos de contacto en una fuente confiable (la página oficial del estado) para verificar
    • Si Verizon también hubiera adoptado este procedimiento, probablemente habría detectado este caso

  • En el programa de TV 'Mr. Robot' se retrata un caso similar

    • El protagonista suplanta o intercepta una línea de fax del NYPD para localizar a una persona específica por su número de celular, y falsifica documentos usados por el NYPD para obtener datos de una telefónica
    • Envía el fax falsificado y espera una respuesta
    • Usa wifi público para mantener el anonimato y falsifica el número de fax del NYPD para que parezca más auténtico

  • El método principal para verificar la validez de una orden firmada por un juez consiste en ver una firma que puede falsificarse fácilmente

  • El correo incluye la firma predeterminada de Proton Mail: 'Enviado con el correo seguro de Proton Mail'

    • Puede que no se note en el campo 'De', pero cuesta entender cómo eso no pudo haber activado una alerta
    • Tal vez sea habitual que la policía maneje estas cosas usando cuentas personales

  • Es muy común que este tipo de documentos se falsifiquen

    • Esto se combina con la urgencia (cuestiones de vida o muerte), la mención de responsabilidad legal por no actuar o multas por divulgarlo
    • Ahora los abogados tienen que decidir cómo responder
    • Estos casos son apenas la punta del iceberg
    • Como falsificar y enviar documentos casi no cuesta nada, esta forma de procesar órdenes en la era de internet no es nada adecuada
    • Han hackeado suficientes departamentos de policía como para obtener plantillas realistas y, a veces, hasta acceso directo al correo electrónico
    • La relación costo/beneficio/riesgo cambia a favor del atacante

  • Más allá de lo loco de la historia original, sorprende que el caso surgiera de haberse conocido mediante la función de citas de un sitio porno llamado hamster.com

    • No sabía que la función de citas de un sitio porno no fuera una estafa o un intento de phishing

  • Una gran empresa como Verizon debería tener un procedimiento específico para responder a solicitudes de las fuerzas del orden

  • Parecería que los correos deberían estar firmados con PGP

  • Al poner en orden los bienes de su madre, alguien sintió miedo de cuánto daño podría causar falsificando dos documentos simples cuya firma no puede verificarse (el certificado de defunción y el certificado de herencia)

    • Se puede resolver casi todo solo enviando escaneos o fotos por correo electrónico, o hablando amablemente por teléfono
    • Algunas tareas, como cerrar cuentas bancarias, sí requieren presencia física y verificación con identificación
    • Si sabes cómo se ve cierto documento, tienes el mundo a tus pies