حتی به پلیس هم اعتماد نکنید/ غول‌های فناوری آمریکا اطلاعات محرمانه کاربران را به حراج گذاشتند

تینا مزدکی_وقتی یکی از متخصصان حریم خصوصی در مرکز عملیات پاسخ حقوقی شرکت Charter Communications، روز ۴ سپتامبر یک درخواست اضطراری ارائه داده را از سوی افسر جیسون کورس از اداره کلانتر جکسون‌ویل دریافت کرد، تنها چند دقیقه طول کشید تا او اطلاعات نام، نشانی خانه، شماره‌های تماس و ایمیل هدف را ارسال کند. اما ایمیل درواقع نه از سوی کورس و نه هیچ‌یک از کارکنان اداره کلانتر جکسون‌ویل ارسال نشده بود. فرستنده، یکی از اعضای گروهی هکری بود که به مشتریانی که حاضرند پول بدهند، خدمات «دکسینگِ سفارشی» ارائه می‌کند و داده‌های حساس ذخیره‌شده نزد شرکت‌های فناوری آمریکا را به دست می‌آورد.

«اکزمپت»، یکی از اعضای گروهی که این عملیات را انجام داده‌اند می‌گوید:«کل این کار ۲۰ دقیقه زمان برد.» او ادعا می‌کند گروهشان توانسته از تقریباً تمام شرکت‌های بزرگ فناوری آمریکا، از جمله اپل و آمازون، و حتی پلتفرم‌های کوچک‌تری مانند سایت ویدئویی Rumble که میان اینفلوئنسرهای راست افراطی محبوب است، اطلاعات مشابهی استخراج کند.

این شیوه‌ی فریب شرکت‌ها برای دریافت اطلاعاتی که می‌تواند به آزار، تهدید و ارعاب قربانیان منجر شود، سال‌هاست شناخته شده است. اما اکنون نحوه فعالیت یکی از این گروه‌های دکسینگ نشان داده که چرا با وجود هشدارهای مکرر، چنین اتفاقاتی هنوز به‌طور گسترده رخ می‌دهد. حادثه Charter Communications یکی از حدود ۵۰۰ درخواست موفقی است که اکزمپت مدعی است طی سال‌های اخیر ارسال کرده است.

برای اثبات ادعایش، او چندین سند و فایل صوتی را یه اشتراک گذاشت، از جمله اسکرین‌شات‌هایی از ایمیل‌ها، احضاریه‌های جعلی، پاسخ شرکت‌های فناوری و حتی ویدئویی از مکالمه تلفنی با تیم پاسخ به درخواست‌های قانونی یکی از شرکت‌ها که در حال بررسی صحت یک درخواست بود.

اکزمپت همچنین شواهدی ارائه داد که نشان می‌داد یک مأمور فعال اجرای قانون (که او از اعلام نام و محل کارش خودداری کرد) با گروه در تماس بوده تا با ارسال درخواست از حساب واقعی خود، درصدی از سود را دریافت کند. او می‌گوید: «من فقط یک آدرس IP لازم دارم که به‌راحتی به دست می‌آورم، و بعد از آن، به‌سرعت به نام، نشانی منزل، ایمیل و شماره موبایل دسترسی دارم. با استفاده از همین اطلاعات می‌توانم درخواست اضطراری داده (EDR) صادر کنم و اگر احضاریه یا حکم جست‌وجو داشته باشم، به پیام‌ها، تماس‌ها و لاگ‌ها هم دسترسی پیدا می‌کنم. این یعنی ظرف چند ساعت،بسته به سرعت پاسخ شرکت، کل زندگی یک نفر در اختیار من است.»

در آمریکا، نهادهای فدرال، ایالتی و محلی برای شناسایی مالک یک حساب یا شماره، معمولاً احضاریه یا حکم را به شرکت مربوطه ارسال می‌کنند. این همان روزنه‌ای است که هکرهایی مثل اکزمپت که خودش را «یک مرد نسل Z ساکن اروپا» معرفی می‌کند از آن سوءاستفاده می‌کنند.

در واقع تمام شرکت‌های بزرگ فعال در آمریکا واحدهای تخصصی دارند که به این درخواست‌ها رسیدگی می‌کنند؛ و این درخواست‌ها اغلب از طریق ایمیل ارسال می‌شود. شرکت‌ها پس از بررسی اولیه و مشاهده ظاهر معتبر سند یا گاهی با یک تماس تلفنی برای تأیید هویت مأمور، معمولاً همکاری می‌کنند. اما در «درخواست‌های اضطراری داده» (EDR)، افسران می‌توانند در شرایط تهدید فوری جان یا خطر قریب‌الوقوع، بدون طی مراحل راستی‌آزمایی معمول درخواست را ارسال کنند. شرکت‌ها نیز به دلیل حساسیت موضوع، معمولاً سریع و بدون سؤال اضافی پاسخ می‌دهند.

به‌گفته او، این روش دکسینگ یک کسب‌وکار پرسود است و ادعا می‌کند گروهش فقط در ماه اوت بیش از ۱۸ هزار دلار درآمد داشته است. در یک مورد او ۱۲۰۰ دلار بابت دکس‌کردن فردی دریافت کرده که ظاهراً در پلتفرم بازی آنلاین خودش به اغفال افراد کم‌سن پرداخته بود.

مشکل یکی از اینجاست که حدود ۱۸ هزار نهاد مجری قانون در آمریکا وجود دارد که هرکدام دامنه ایمیل و قالب اسناد خاص خود را دارند: از .us و .org گرفته تا .gov و حتی .com. اما هکرها از دو روش استفاده می‌کنند، یا حساب واقعی مأموران را که از قبل هک شده‌اند به کار می‌گیرند، یا دامنه‌ای بسیار مشابه دامنه واقعی یک اداره پلیس ایجاد می‌کنند. اکزمپت درباره اینکه چگونه Charter Communications را فریب داده‌اند توضیح می‌دهد: «دامنه واقعی اداره کلانتر جکسون‌ویل jaxsheriff.org است. ما jaxsheriff.us را خریدیم و بعد شماره تماس‌مان را طوری اسپوف کردیم که وقتی شرکت شماره را جست‌وجو می‌کند، به اداره کلانتر برسد. ما حتی از شماره نشان و نام واقعی افسران هم استفاده می‌کنیم.»

او می‌گوید برای ساختن اسناد جعلی، متون احضاریه‌های واقعی را از پرونده‌های عمومی استخراج کرده و همان قالب و بخش‌های قانونی را دقیقاً بازتولید می‌کنند. در برخی موارد همین ایمیل و سند جعلی کافی است تا اطلاعات حساس دریافت شود. در یکی از نمونه‌هایی که اکزمپت نشان داد، گروه توانسته اطلاعات ثبت حساب رسمی تامی رابینسون، فعال راست افراطی بریتانیایی، در پلتفرم Rumble را به دست بیاورد.

وقتی شرکت‌ها تماس تلفنی برای تأیید می‌گیرند نیز امکان دورزدن سیستم وجود دارد. در یک فایل صوتی، نماینده تیم پاسخ‌گویی آمازون با شماره درج‌شده در ایمیل تماس گرفته و خود اکزمپت در نقش مأمور پلیس تماس را جواب داده است. آمازون بعداً اعلام کرد که «یک فرد جعل‌کننده هویت پلیس» را شناسایی و مسدود کرده است. این شرکت گفت تعداد محدودی حساب تحت‌تأثیر قرار گرفته‌اند و اقدامات حفاظتی جدیدی اضافه شده است.

با این حال، دستورالعمل‌های رسمی برخی شرکت‌ها نیز ناخواسته کار را برای هکرها آسان‌تر می‌کند. اپل در مستندات خود دقیقاً توضیح داده که چگونه درخواست اضطراری باید ارسال شود. اکزمپت نمونه‌ای از این درخواست جعلی به اپل و پاسخ اپل، شامل نشانی خانه، شماره موبایل و ایمیل‌های کاربر آی‌کلاد را با وایرد به اشتراک گذاشت.

بسیاری از شرکت‌ها همچنان درخواست‌های اضطراری را از طریق ایمیل دریافت می‌کنند. حتی شرکت‌هایی که از پلتفرم‌های امن مانند Kodex استفاده می‌کنند، در صورت هک‌شدن ایمیل مأموران در معرض خطر هستند. اکزمپت مدعی است مدتی توانسته از این سیستم نیز سوءاستفاده کند، هرچند اکنون دسترسی‌شان قطع شده است.

او ادعا می‌کند اکنون با یک معاون کلانتر (که قبلاً دکس شده) مذاکره می‌کنند تا در ازای دریافت سهمی از درآمد و حذف اطلاعات دکس‌شده‌اش از یک سایت معروف دکسینگ، یا حساب Kodex او را اجاره کنند یا او شخصاً درخواست‌ها را ارسال کند. برای اثبات ادعا، اکزمپت تصویری از گفت‌وگوی متنی با آن مأمور ارائه داده که در آن نوشته: «شما اطلاعات من و خانواده‌ام را دارید. هنوز دودل هستم، اما اگر این معامله را انجام دهیم، همه‌مان به چیزی که می‌خواهیم می‌رسیم.»

دوناتیو، مدیرعامل Kodex و مأمور سابق FBI، می‌گوید رفتار غیرعادی مأموران در چنین شرایطی می‌تواند در سیستم ثبت و ردیابی شود و به‌طور مداوم مورد بررسی قرار گیرد. او همچنین می‌گوید همکاری میان بخش خصوصی و نیروهای قانون «حساس و حیاتی» است و گاهی می‌تواند مرز میان نجات یک فرد و وقوع تراژدی باشد. اما ضعف سیستم‌های ارتباطی سنتی مانند ایمیل، فضای خطرناکی برای سوءاستفاده هکرها ایجاد کرده است.

منبع: wired

۲۲۷۳۲۳