GN⁺: 버라이즌, 가짜 "수색 영장"에 속아 스토커에게 피해자의 휴대폰 데이터 제공

 (arstechnica.com)
1P by neo 5달전 | favorite | 댓글 1개
  • 버라이즌이 가짜 경찰과 수색 영장에 속아 피해자의 주소와 통화 기록을 스토커에게 제공함
  • 스토커인 로버트 마이클 글라우너는 피해자의 집 근처에서 체포되었으며, 당시 칼을 소지하고 있었음
  • 글라우너는 피해자와 온라인 로맨틱 관계를 맺었으나, 관계 종료 후에도 연락을 시도함

가짜 경찰, 위조된 판사 서명

  • 글라우너는 가짜 이메일과 수색 영장을 버라이즌 보안 지원 팀(VSAT)에 보내 버라이즌을 속임.
  • 버라이즌은 이메일이 프로톤 메일 주소에서 발송되었음에도 불구하고 요청이 사기인지 인지하지 못함
  • 수색 영장에는 존재하지 않는 경찰관의 이름과 위조된 판사 서명이 포함되어 있었음

버라이즌, 주소와 통화 기록 제공

  • 버라이즌은 가짜 문서를 검토한 후 피해자의 주소와 통화 기록을 글라우너에게 제공함.
  • 버라이즌 웹사이트에 따르면, VSAT는 법적 요구 사항을 비밀리에 처리하고 모든 적용 가능한 법률을 준수함
  • 버라이즌은 사건에 대해 법 집행 기관과 협력하고 있다고 밝힘

GN⁺의 의견

이 기사에서 가장 중요한 점은 버라이즌이 가짜 경찰과 수색 영장에 속아 피해자의 개인 정보를 제공한 사건에 대한 것임. 이러한 사건은 개인 정보 보호와 기업의 법적 요청 처리 시스템의 취약점을 드러내며, 이는 많은 사람들에게 흥미로운 주제가 될 수 있음. 특히, 사이버 보안과 개인 정보 보호에 관심이 있는 사람들에게 이 사건은 중요한 학습 사례로 작용할 수 있음.

neo 5달전  [-]
Hacker News 의견

  • 법원 명령을 위조하는 것은 매우 쉬움

    • 미국 내 1700개 이상의 카운티에서 사용하는 특정 양식을 베라이존이나 다른 기업이 알 방법이 없음
    • 연방 소환장은 통일되어 있고 비공개로 파일링되어 있어서 더 쉬움
    • 베라이존은 서기실에 전화해서 소환장 발부 여부를 확인할 수 없음
    • 문서는 간단한 복사용지에 인쇄되어 있고 보안 기능이 없음
    • 소액 청구 소송을 제기하여 소환장을 발급받는 것도 쉬움
    • 민사 소환장은 형사 소환장보다 시간이 조금 더 걸리고 서비스 비용을 지불해야 하지만 문제될 것 없음

  • 베라이존 대변인은 이 사건에 대해 법 집행 기관과 협력하고 있다고 밝힘

  • 소규모 커뮤니티 ISP에서 아르바이트하는 한 사람은 법적 시스템과 두 번 접촉함

    • 처음 요청을 받았을 때 진위 여부를 어떻게 확인해야 할지 고민함
    • 절차는 영장의 모든 연락처 정보를 버리고, 신뢰할 수 있는 출처(공식 주 웹페이지)에서 새로운 연락처를 찾아 확인하는 것으로 정함
    • 베라이존도 이 절차를 채택했다면 이번 사건을 잡아낼 수 있었을 것임

  • TV 프로그램 '미스터 로봇'에서 비슷한 사례가 묘사됨

    • 주인공이 휴대폰 번호로 특정 인물을 찾아내기 위해 NYPD 팩스 라인을 가장하거나 가로채고, 통신사로부터 데이터를 얻기 위해 NYPD가 사용하는 문서를 위조함
    • 위조된 팩스를 보내고 응답을 기다림
    • 공공 와이파이를 사용하여 익명성을 유지하고 NYPD 팩스 번호를 위조하여 더 정통해 보이게 함

  • 판사가 서명한 명령의 유효성을 확인하는 주된 방법이 쉽게 위조될 수 있는 서명을 보는 것임

  • 이메일에는 'Proton Mail 보안 이메일로 보냄'이라는 프로톤 메일 기본 서명이 포함되어 있음

    • '발신' 필드에서는 눈치채지 못할 수도 있지만, 이것이 어떻게 경고 신호를 일으키지 않을 수 있는지 의문
    • 경찰이 개인 계정을 사용하여 이러한 일을 처리하는 것이 일상적일 수도 있음

  • 이러한 문서가 위조되는 것은 매우 흔함

    • 긴급성(생명과 죽음의 문제), 미처리 시 법적 책임이나 공개 시 벌금에 대한 언급과 결합됨
    • 변호사는 이제 어떻게 대처해야 할지 결정해야 함
    • 이러한 사건들은 빙산의 일각에 불과함
    • 문서를 위조하고 보내는 데 드는 비용이 거의 없기 때문에 인터넷 시대에는 이러한 영장 처리 방식이 전혀 적합하지 않음
    • 충분한 경찰서가 해킹당해 현실적인 템플릿을 얻고 때로는 직접 이메일 접근까지 가능함
    • 공격자에게 유리하게 비용/이익/위험 관계가 변화함

  • 원래 이야기의 미친 점을 제외하고, 햄스터닷컴이라는 포르노 웹사이트의 데이팅 기능을 통해 만난 사건에 대해 놀람

    • 포르노 사이트의 데이팅 기능이 사기나 피싱 시도가 아니라는 것을 몰랐음

  • 베라이존과 같은 대기업에는 법 집행 요청에 응답하기 위한 특정 절차가 있어야 함

  • 이메일은 PGP로 서명되어야 할 것 같음

  • 어머니의 재산을 정리할 때, 서명을 검증할 수 없는 두 장의 간단한 문서(사망증명서와 상속증명서)를 위조하여 얼마나 큰 피해를 입힐 수 있는지 무서움을 느낌

    • 이메일로 스캔하거나 사진을 보내거나 전화로 친절하게 대화하는 것만으로 거의 모든 일을 처리할 수 있음
    • 은행 계좌를 폐쇄하는 것과 같은 몇 가지 작업은 개인의 출석과 신분증으로 인증이 필요함
    • 어떤 문서가 어떻게 생겼는지만 알면 세상이 발 아래에 있음
답변달기