1 poin oleh GN⁺ 2023-12-10 | 1 komentar | Bagikan ke WhatsApp
  • Prosedur operator telekomunikasi untuk menangani permintaan dari lembaga penegak hukum berhasil ditembus, sehingga Verizon Wireless menyerahkan alamat dan riwayat panggilan korban kepada orang yang menyamar sebagai polisi
  • Robert Michael Glauner meminta informasi korban menggunakan alamat Proton Mail dan surat perintah penggeledahan palsu, dan Verizon gagal menyaring permintaan yang bukan berasal dari kantor polisi atau domain lembaga pemerintah
  • Dokumen palsu itu mencantumkan “Detective Steven Cooper” dari Kepolisian Cary yang tidak ada, serta tanda tangan palsu hakim sungguhan, dan juga tidak menyertakan formulir AOC-CR-119 yang wajib untuk surat perintah penggeledahan di North Carolina
  • Setelah Verizon memberikan informasi pada 5 Oktober 2023, Glauner berulang kali menghubungi keluarga dan tempat kerja korban serta mengirim pesan ancaman kepada korban
  • Jika data pelanggan yang sensitif bocor hanya lewat satu permintaan palsu, penguntitan online dapat berujung pada ancaman fisik

Informasi pelanggan Verizon bocor lewat permintaan penegak hukum palsu

  • Verizon Wireless memberikan alamat dan riwayat telepon seorang perempuan korban kepada Robert Michael Glauner, yang menyamar sebagai polisi
  • Glauner kemudian ditangkap di dekat tempat tinggal korban, dan saat itu membawa pisau
  • Ia diketahui bepergian dari New Mexico ke Raleigh, North Carolina, setelah mendapatkan alamat korban
  • Sebelum tiba, ia diduga mengirim pesan ancaman kepada korban berbunyi “if I can’t have you no one can”, dan juga mengancam akan mengirim foto telanjang korban kepada keluarganya
  • Glauner didakwa di Pengadilan Distrik Federal untuk Distrik Timur North Carolina atas tuduhan penguntitan dan penipuan yang “berkaitan dengan perolehan catatan telepon rahasia”
  • Kasus ini sebelumnya dibahas oleh 404 Media

Kontak berlanjut setelah hubungan online berakhir

  • Glauner dan korban bertemu pada Agustus atau September 2023 di xhamster.com, situs porno dengan fitur kencan, lalu menjalin hubungan asmara online
  • Setelah korban mengakhiri hubungan tersebut, Glauner terus menghubungi atau mencoba menghubunginya
  • Permintaan yang dikirim ke Verizon diteruskan ke alamat email Verizon Security Assistance Team (VSAT), yaitu vsat.cct@one.verizon.com
  • VSAT adalah organisasi yang menangani permintaan hukum, dan situs web Verizon menyatakan bahwa perusahaan memproses secara rahasia serta mematuhi hukum terkait permintaan hukum seperti perintah pengadilan, surat perintah penggeledahan, dan subpoena
  • Halaman yang sama menjelaskan bahwa VSAT hanya menerima permintaan hukum yang sah untuk permintaan catatan

Polisi palsu dan surat perintah penggeledahan palsu

  • Pada 26 September 2023, sebuah email dikirim ke Verizon dari alamat steven1966c@proton.me
    • Email itu menyatakan melampirkan PDF surat perintah penggeledahan, dan menulis bahwa data ponsel diperlukan “untuk menemukan dan menangkap tersangka”
    • Email tersebut juga meminta nama lengkap pelanggan Verizon milik korban dan nomor telepon yang baru ditetapkan
  • Dokumen lampiran berisi pernyataan tertulis palsu yang dibuat seolah-olah ditulis oleh “Detective Steven Cooper” dari Kepolisian Cary, North Carolina
    • Kepolisian Cary mengonfirmasi bahwa tidak ada polisi bernama Steven Cooper di instansi tersebut
  • Pada hari yang sama, VSAT menerima telepon dari seorang pria yang mengaku sebagai Cooper
    • Ia mengatakan membutuhkan informasi tentang tersangka kasus pembunuhan
    • Ia juga mengatakan bahwa orang terkait telah mengganti nomor telepon
  • Pernyataan tertulis palsu itu meminta nomor telepon baru, riwayat panggilan masuk dan keluar, informasi lokasi, serta pesan teks masuk dan keluar
  • Dokumen tersebut ditandai seolah-olah surat perintah penggeledahan telah disetujui oleh Superior Court Judge Gale Adams
    • Adams adalah hakim sungguhan, tetapi mengonfirmasi bahwa tanda tangan pada dokumen itu bukan tanda tangannya
    • “Surat perintah penggeledahan” tersebut juga tidak menyertakan formulir AOC-CR-119 yang diperlukan untuk surat perintah penggeledahan di negara bagian North Carolina

Data yang diberikan Verizon dan permintaan lanjutan

  • Setelah meninjau email dan dokumen yang dikirim oleh “Cooper”, Verizon memberikan catatan telepon korban pada 5 Oktober 2023
    • Catatan yang diberikan mencakup alamat dan riwayat panggilan
  • Verizon tidak segera menjawab pertanyaan terkait kasus ini, sementara juru bicara Verizon mengatakan kepada 404 Media bahwa perusahaan bekerja sama dengan lembaga penegak hukum
  • Pada 9 Oktober, VSAT kembali menerima telepon dari “Officer Cooper”
    • Penelepon menanyakan cara membaca data tersebut
    • Berdasarkan isi panggilan yang direkam, terkonfirmasi bahwa Glauner telah menerima catatan dari Verizon Wireless
    • Penelepon mengatakan pelanggan telah mengganti nomor telepon dan bahwa ia telah mendapatkan nomor baru tersebut
  • Masih ada kemungkinan bahwa saat itu Glauner sebenarnya belum memperoleh nomor telepon baru tersebut
    • VSAT kemudian terus menerima email yang meminta nomor korban dan informasi lainnya
    • “Surat perintah penggeledahan” lain meminta koordinat GPS dari nomor tersebut dan seluruh foto yang dikirim maupun diterima

Kontak meluas ke keluarga dan tempat kerja korban

  • Pada 13 Oktober 2023, ibu korban menerima pesan suara yang menyatakan bahwa Glauner ingin menghubungi korban
  • Dari 13 Oktober hingga 22 Oktober, ibu korban menerima 10 pesan suara dari Glauner
    • Pesan-pesan itu berisi pernyataan bahwa ia tidak akan berhenti sampai bisa menghubungi korban
  • Pada 16 Oktober, ayah korban menerima pesan berisi foto korban dan teks “Do you know this girl?”
  • Glauner juga diketahui berulang kali menelepon tempat usaha di Raleigh tempat korban bekerja
  • Pada 15 Oktober, ada panggilan darurat yang meminta pemeriksaan kesejahteraan di lokasi yang tampaknya merupakan alamat korban, dan polisi yang datang menilai laporan tersebut palsu
  • Pada 23 Oktober, polisi memperoleh surat perintah penggeledahan untuk akun Google yang terkait dengan nomor telepon yang digunakan “Officer Cooper” saat menghubungi Verizon
  • Polisi juga memastikan bahwa Glauner masuk daftar buron San Diego Sheriff’s Office atas dugaan menguntit mantan pacarnya
    • Laporan polisi dalam kasus California menyebutkan bahwa korban “telah mengganti nomor telepon 4 kali dalam 4 bulan terakhir, tetapi entah bagaimana Glauner terus berhasil mengetahui nomornya”

Ditangkap tak lama setelah tiba di North Carolina

  • Pada 26 Oktober, korban di North Carolina menyiapkan Tracphone dan memberi tahu Glauner nomor tersebut untuk mengurangi telepon yang masuk ke teman, keluarga, dan pemberi kerjanya
  • Pada 5 November, korban melaporkan bahwa ia menerima kabar Glauner sedang menuju North Carolina
    • Pesan teks panjang itu mencakup pernyataan tentang memperoleh senjata api dan amunisi, serta ancaman “if I can’t have you no one can”
  • Karena khawatir atas nyawa dan keselamatannya, korban menyampaikan informasi lokasi Glauner yang bergerak dari New Mexico ke Raleigh kepada penegak hukum
  • Pada 6 November, polisi memperoleh surat perintah penangkapan terhadap Glauner
    • Tuduhannya adalah pemerasan karena mengancam akan mengungkap gambar telanjang korban kepada keluarganya, penguntitan, cyberstalking, dan komunikasi mengancam
  • Polisi mengawasi alamat yang dituju Glauner sementara korban dan keluarganya meninggalkan rumah selama malam itu
  • Glauner tiba sekitar pukul 21.00 pada 6 November dengan Jeep Cherokee berpelat New Mexico dan ditangkap
    • Ia berhenti tepat di depan alamat tersebut, lalu masuk ke halaman rumah tetangga dan berdiri di tempat gelap
    • Dalam penggeledahan saat penangkapan, ditemukan pisau lipat silet hitam dan 2 ponsel
    • Layar kunci salah satu ponsel menampilkan gambar korban, dan di layar terlihat notifikasi pesan dari “Victim 1”
  • Dalam penggeledahan Jeep Cherokee, ditemukan pipa kaca untuk meth, 8 g zat yang diduga metamfetamina, serta 2 gulung tali baru yang masih terbungkus plastik
  • Selain dakwaan di North Carolina, Glauner juga didakwa sebagai Fugitive from Justice karena surat perintah penangkapan tertunda di California, dan ditahan di Wake County Jail dengan jaminan 550.000 dolar AS

1 komentar

 
GN⁺ 2023-12-10
Pendapat Hacker News
  • Memalsukan perintah pengadilan itu sangat mudah. Verizon atau perusahaan lain tidak mungkin tahu formulir yang dipakai oleh county tertentu dari lebih dari 1.700 county di AS
    Subpoena federal lebih mudah lagi karena formatnya seragam dan diajukan secara tertutup. Verizon juga tidak bisa menelepon kantor panitera pengadilan dan bertanya, “Apakah grand jury benar-benar menerbitkan subpoena?” Dokumennya hanya kertas fotokopi biasa tanpa fitur keamanan. Kalau fakta ini menyebar, rasanya kasus seperti ini akan makin banyak. Mengajukan gugatan small claims untuk mendapatkan subpoena juga cukup mudah, dan biasanya tidak ada orang yang akan bergerak untuk membatalkan subpoena itu. Subpoena perdata butuh waktu sedikit lebih lama daripada subpoena pidana dan harus membayar biaya penyampaian, tapi itu bukan hambatan besar

    • Verizon sebenarnya bisa melakukan panggilan verifikasi. Subpoena harus mencantumkan kontak, dan Verizon bisa memverifikasi bahwa kontak itu sah lalu menghubunginya langsung untuk memastikan keaslian subpoena
      Hal seperti ini juga terjadi di bidang medis, dan karena hukuman saat merespons permintaan palsu jauh lebih besar, tenaga medis dilatih untuk melakukan prosedur verifikasi seperti ini. HIPAA tidak memberi keringanan hanya karena seseorang tertipu hingga mengungkap informasi HIPAA
      https://www.hipaaexams.com/blog/medical-record-subpoena
    • Tunggu, maksudnya perintah seperti ini benar-benar datang sebagai cetakan kertas?
      Artinya perintah resmi yang menginstruksikan operator telekomunikasi menyerahkan data komunikasi pribadi dikirim dalam bentuk pigmen di atas lembaran tipis bubur kayu, bukan file bertanda tangan digital yang bisa diverifikasi dengan mudah memakai kunci publik lembaga penerbit?
    • Entah siapa yang menetapkan bahwa “Verizon tidak bisa menelepon kantor panitera pengadilan dan bertanya, ‘Apakah grand jury benar-benar menerbitkan subpoena?’” Saya tidak tahu ada aturan atau undang-undang yang melarang penerima subpoena mengecek keabsahannya ke pengadilan
      Selalu ada pihak yang bisa mengajukan pembatalan subpoena. Yaitu penerimanya sendiri. Biasanya ada dua pihak yang bisa melakukannya: penerima dan pihak lawan. Pada subpoena federal, aturan prosedur pembatalannya tercantum di subpoena itu sendiri
      https://www.uscourts.gov/sites/default/files/ao088b.pdf
      Selain itu, ada sangat banyak undang-undang dan preseden yang bisa berlaku untuk memperoleh catatan telepon. Tergantung apa yang diminta, subpoena mungkin bahkan tidak diperlukan
    • Surat perintah penggeledahan bukan subpoena rahasia, dan setidaknya seharusnya selalu bisa diverifikasi apakah pihak yang menerbitkannya benar-benar ada dan memiliki kewenangan
      Saya berharap nomor identifikasi dan detail utamanya juga bisa diverifikasi, tetapi karena saya hanya mengenal sistem hukum Jerman, bukan AS, sulit untuk memastikannya
    • Mengatakan bahwa memalsukan perintah pengadilan itu mudah mirip seperti mengatakan memalsukan surat penipuan pangeran Nigeria itu mudah. Verizon seharusnya sangat malu atas kejadian ini. Permintaan awal datang dari akun Proton, dengan salah eja dan kesalahan tata bahasa kekanak-kanakan
      Saya tidak tahu bagaimana Verizon menanganinya secara internal, tetapi saya punya teman yang bekerja di “tim respons permintaan penegak hukum” di salah satu perusahaan FAANG. Perusahaan itu menerima sangat banyak permintaan hukum untuk penyediaan informasi, banyak permintaan palsu, dan banyak juga permintaan yang memang datang dari lembaga pemerintah tetapi mencurigakan sehingga diperdebatkan. Karena itu mereka menangani semuanya dengan prosedur dan teknologi yang sangat rinci. Verizon adalah operator seluler terbesar di AS, jadi seharusnya mereka punya kemampuan yang setidaknya tidak terlihat seperti pertunjukan kacau total di bidang ini
  • Jawaban klise Verizon bahwa mereka “bekerja sama dengan penegak hukum dalam perkara ini” mungkin seharusnya sedikit disesuaikan untuk kasus kali ini
    Sebenarnya ini bukan hal yang pantas ditertawakan, tetapi tetap saja cukup lucu. Saya bekerja sampingan di ISP lokal kecil, dan pernah menangani dua permintaan hukum. Saat menerima permintaan pertama, kami bingung bagaimana cara mengautentikasinya, dan prosedur kami akhirnya adalah membuang semua kontak yang tertulis di surat perintah, lalu mencari kontak baru dari sumber tepercaya dan memverifikasinya lewat telepon. Keduanya kami temukan di situs web resmi negara bagian. Kalau Verizon memakai prosedur ini, kemungkinan kasus ini akan ketahuan. Karena Cary Police Department mengonfirmasi bahwa tidak ada petugas polisi bernama Steven Cooper

    • Menerbitkan surat perintah penggeledahan palsu kemungkinan merupakan tindak pidana, jadi masuk akal kalau Verizon bekerja sama dengan penegak hukum untuk masalah itu
  • Mengejutkan bahwa cara utama untuk memastikan apakah suatu perintah disetujui hakim adalah verifikasi tanda tangan yang mudah dipalsukan

    • Memalsukan tanda tangan hakim saja sudah bisa membuat orang masuk penjara. Di sebagian besar negara bagian, menyamar sebagai polisi juga demikian. Dengan memakai cara ini untuk menemukan perempuan, stalker ini pada dasarnya memastikan sendiri jalan menuju penjara
      Banyak stalker tidak mendapat hukuman penjara sungguhan meski melakukan hal yang benar-benar mengerikan. Namun, perbedaannya besar antarnegara bagian, dan secara mengejutkan tidak semua negara bagian menganggapnya felony; setidaknya di satu negara bagian, itu baru menjadi felony jika ada niat memperoleh keuntungan dari kewenangan yang diberikan
    • Ini terlihat seperti tanggung jawab pemerintah. Di hampir semua bidang lain yang sedikit saja penting, sistem autentikasi yang lebih baik dan lebih maju digunakan, tetapi pemerintah di seluruh dunia masih mengandalkan tanda tangan
      Cukup dengan selembar kertas berisi kata sandi yang memungkinkan orang menemukan informasi autentikasi di situs web pengadilan, email, atau nomor telepon otomatis maupun alamat email untuk autentikasi online
  • Saya samar-samar ingat ada adegan mirip di serial TV Mr. Robot
    Mereka bertugas menemukan orang yang diminati lewat nomor ponsel, dan sepertinya menyamar sebagai atau menyadap jalur faks NYPD. Caranya adalah memalsukan dokumen yang dipakai NYPD untuk mendapatkan data dari operator telekomunikasi, mengirimkannya lewat faks, lalu menunggu balasan. Jelas lebih elegan daripada mengirim dokumen palsu dari alamat Proton Mail, tetapi pada akhirnya metodenya sama
    Ketemu: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
    Setelah dilihat, tampaknya mereka memakai Wi-Fi publik untuk tetap anonim, dan memalsukan nomor faks NYPD agar terlihat lebih meyakinkan. Sepertinya saya harus menonton ulang serial ini

  • Mengejutkan bahwa email itu bahkan menyertakan tanda tangan default Proton, “sent with Proton Mail secure email”. Mungkin saja mereka tidak menyadarinya dari kolom pengirim, tetapi sulit dipahami mengapa itu tidak terlihat sebagai sinyal bahaya
    Bahkan kalau jawabannya karena polisi memang biasa memakai akun pribadi untuk urusan seperti ini, itu pun tidak akan mengejutkan

    • Saya pernah bekerja di dekat kantor tim penghubung penegak hukum di sebuah operator telekomunikasi, jadi sering mendengar panggilan dan percakapan mereka. Semuanya mantan polisi, dan mereka sangat cenderung menyerahkan apa pun yang diminta. Jujur saja, mereka juga tidak terlalu tajam
    • Kevin Mitnick sudah mengajarkan puluhan tahun lalu bahwa dalam lingkungan apa pun, mata rantai terlemah adalah manusia. Rekayasa sosial jauh lebih mudah daripada yang dibayangkan
    • Bisa juga ini menunjukkan bahwa tidak ada yang membaca atau melihat tanda tangan email
    • Ada kemungkinan mereka sengaja melakukannya untuk menyaring petugas yang punya kewaspadaan keamanan tinggi
  • Terlepas dari betapa absurdnya kasus aslinya sendiri, bagian yang paling mengejutkan bagi saya adalah bahwa korban dan Glauner bertemu di situs porno dengan fitur kencan bernama hamster.com lalu menjalin hubungan asmara online
    Saya tidak tahu bahwa fitur kencan di situs porno bisa jadi bukan semata-mata upaya penipuan atau phishing

    • Sebagian kreator konten OF menggunakan platform seperti ini untuk mempromosikan konten mereka
  • Pemalsuan seperti ini sangat umum
    Ini makin efektif terutama jika ditambahkan tekanan berupa urgensi, yaitu persoalan hidup-mati, disertai penyebutan hukum dan hukuman yang berlaku jika tidak segera diproses, serta hukum dan hukuman jika hal itu diungkapkan. Kini seorang pengacara malang harus memutuskan apa yang harus dilakukan. Kasus yang terungkap hanyalah puncak gunung es, dan skala sebenarnya harus diasumsikan jauh lebih besar
    Saya memang ingin menyalahkan Verizon atau lembaga lain, tetapi inti masalahnya adalah cara pemrosesan surat perintah seperti ini sama sekali tidak cocok untuk era internet. Pemalsuan biasanya adalah kejahatan, sehingga mengirim surat perintah lewat pos kertas relatif aman, karena pelaku bisa dilacak melalui alamat pengirim dan sebagainya. Namun di internet, situasinya berubah. Seseorang yang berada di negara lain atau hampir anonim dapat memalsukan dan mengirim surat perintah dengan biaya nyaris nol. Formulir yang realistis bisa diperoleh dari kantor polisi yang diretas, dan kadang bahkan akses emailnya juga bisa didapat. Keseimbangan biaya, manfaat, dan risiko telah bergeser menguntungkan penyerang, dan fakta bahwa sebagian besar negara berusaha memproses permintaan semacam ini lebih cepat juga tidak membantu

  • Ke depan, karena AI, para kriminal akan mampu memalsukan setiap aspek penipuan seperti ini dengan tingkat yang sulit dipercaya
    Ini mencakup formulir, sekolah hukum palsu, situs web sekolah palsu, situs web hukum palsu, ulasan palsu, dan sebagainya. Bahkan untuk memverifikasi satu hal kecil pun akan dibutuhkan sumber daya yang semakin besar

  • Inilah alasan orang mendapat tatapan aneh ketika mengatakan tidak ingin menyerahkan informasi pribadi

  • Email seperti ini tampaknya seharusnya diberi tanda tangan PGP

    • Bagaimana cara menetapkan bahwa kunci PGP tertentu digunakan oleh pihak berwenang untuk kapasitas resmi dan tujuan yang sah?
      Kalau yang dimaksud S/MIME, itu masuk akal karena ada ekosistem otoritas sertifikat X.509. Namun PGP dengan web of trust (WoT) adalah alat yang sepenuhnya keliru untuk konteks ini
    • Model kepercayaan PGP sudah usang, jadi kemungkinan besar tidak akan banyak membantu dalam kasus ini