Verizon tertipu oleh "surat perintah penggeledahan" palsu dan memberikan data ponsel korban kepada penguntit

 (arstechnica.com)
1 poin oleh GN⁺ 2023-12-10 | 1 komentar | Bagikan ke WhatsApp
  • Verizon tertipu oleh polisi palsu dan surat perintah penggeledahan palsu, lalu memberikan alamat dan catatan panggilan korban kepada penguntit
  • Penguntit tersebut, Robert Michael Glauner, ditangkap di dekat rumah korban dan saat itu membawa pisau
  • Glauner sempat menjalin hubungan romantis online dengan korban, tetapi tetap berusaha menghubunginya setelah hubungan berakhir

Polisi palsu, tanda tangan hakim dipalsukan

  • Glauner menipu Verizon dengan mengirim email palsu dan surat perintah penggeledahan ke tim Verizon Security Assistance Team (VSAT).
  • Verizon tidak menyadari bahwa permintaan tersebut adalah penipuan meskipun email dikirim dari alamat Proton Mail
  • Surat perintah penggeledahan itu memuat nama polisi yang tidak ada dan tanda tangan hakim yang dipalsukan

Verizon memberikan alamat dan catatan panggilan

  • Setelah meninjau dokumen palsu tersebut, Verizon memberikan alamat dan catatan panggilan korban kepada Glauner.
  • Menurut situs web Verizon, VSAT menangani persyaratan hukum secara rahasia dan mematuhi semua hukum yang berlaku
  • Verizon menyatakan sedang bekerja sama dengan aparat penegak hukum terkait insiden tersebut

Opini GN⁺

Poin terpenting dari artikel ini adalah bahwa Verizon tertipu oleh polisi palsu dan surat perintah penggeledahan palsu sehingga menyerahkan informasi pribadi korban. Insiden seperti ini mengungkap kerentanan dalam perlindungan privasi dan sistem perusahaan untuk menangani permintaan hukum, yang dapat menjadi topik menarik bagi banyak orang. Khususnya bagi mereka yang tertarik pada keamanan siber dan privasi, kasus ini dapat menjadi contoh pembelajaran yang penting.

Bacaan terkait

1 komentar

 
GN⁺ 2023-12-10
Komentar Hacker News

  • Memalsukan perintah pengadilan sangat mudah

    • Tidak ada cara bagi Verizon atau perusahaan lain untuk mengetahui formulir spesifik yang digunakan oleh lebih dari 1.700 county di AS
    • Surat panggilan federal terstandarisasi dan diajukan secara nonpublik, jadi malah lebih mudah
    • Verizon tidak bisa menelepon kantor panitera untuk memverifikasi apakah surat panggilan benar-benar diterbitkan
    • Dokumennya dicetak di kertas fotokopi biasa dan tidak memiliki fitur keamanan
    • Mengajukan gugatan small claims untuk mendapatkan surat panggilan juga mudah
    • Surat panggilan perdata memang sedikit lebih lama daripada surat panggilan pidana dan perlu membayar biaya layanan, tetapi itu bukan masalah besar

  • Juru bicara Verizon mengatakan mereka sedang bekerja sama dengan aparat penegak hukum terkait kasus ini

  • Seseorang yang bekerja paruh waktu di ISP komunitas kecil pernah dua kali berurusan dengan sistem hukum

    • Saat menerima permintaan pertama, dia memikirkan bagaimana cara memverifikasi keasliannya
    • Prosedurnya kemudian ditetapkan: abaikan semua informasi kontak yang ada di surat perintah, lalu cari kontak baru dari sumber tepercaya (halaman web resmi negara bagian) untuk melakukan verifikasi
    • Jika Verizon juga menerapkan prosedur ini, insiden kali ini mungkin bisa terdeteksi

  • Kasus serupa digambarkan dalam acara TV 'Mr. Robot'

    • Tokoh utamanya menyamar sebagai atau mencegat jalur faks NYPD untuk melacak seseorang lewat nomor ponsel, lalu memalsukan dokumen yang digunakan NYPD agar bisa mendapatkan data dari operator
    • Mengirim faks palsu dan menunggu respons
    • Menggunakan Wi-Fi publik untuk menjaga anonimitas dan memalsukan nomor faks NYPD agar terlihat lebih meyakinkan

  • Cara utama untuk memverifikasi keabsahan perintah yang ditandatangani hakim adalah dengan melihat tanda tangan yang mudah dipalsukan

  • Email tersebut menyertakan tanda tangan default Proton Mail: 'Dikirim dengan email aman Proton Mail'

    • Di kolom 'from' mungkin orang tidak menyadarinya, tetapi sulit dipahami bagaimana ini tidak memicu tanda bahaya
    • Mungkin memang biasa bagi polisi menangani hal seperti ini dengan akun pribadi

  • Pemalsuan dokumen seperti ini sangat umum

    • Digabungkan dengan urgensi (masalah hidup dan mati), ancaman tanggung jawab hukum jika tidak diproses, atau denda jika diungkapkan
    • Pengacara kini harus memutuskan bagaimana menanganinya
    • Kasus-kasus seperti ini hanyalah puncak gunung es
    • Karena biaya untuk memalsukan dan mengirim dokumen nyaris nol, cara menangani surat perintah seperti ini sama sekali tidak cocok untuk era internet
    • Cukup banyak kantor polisi diretas sehingga template yang realistis bisa didapatkan, dan kadang bahkan akses email langsung juga tersedia
    • Hubungan biaya/manfaat/risiko berubah menguntungkan penyerang

  • Terlepas dari bagian paling gilanya dari cerita aslinya, mengejutkan bahwa kasus ini bermula dari pertemuan lewat fitur kencan di situs porno Hamster.com

    • Tidak tahu bahwa fitur kencan di situs porno ternyata bukan sekadar penipuan atau upaya phishing

  • Perusahaan besar seperti Verizon seharusnya memiliki prosedur khusus untuk menanggapi permintaan dari aparat penegak hukum

  • Rasanya email semacam ini seharusnya ditandatangani dengan PGP

  • Saat membereskan harta peninggalan ibu, terasa menakutkan menyadari betapa besar kerusakan yang bisa ditimbulkan dengan memalsukan dua dokumen sederhana yang tanda tangannya tidak bisa diverifikasi (surat kematian dan surat keterangan ahli waris)

    • Hampir semua hal bisa diurus hanya dengan mengirim hasil scan atau foto lewat email, atau berbicara ramah lewat telepon
    • Beberapa hal, seperti menutup rekening bank, memang memerlukan kehadiran langsung dan verifikasi dengan identitas
    • Jika tahu seperti apa bentuk dokumen tertentu, dunia terasa ada di bawah kakimu