Ketika privasi spesialis di pusat operasi tanggap hukum Charter Communications menerima permintaan data darurat melalui email pada tanggal 4 September dari Petugas Jason Corse dari Kantor Sheriff Jacksonville, dia hanya memerlukan beberapa menit untuk merespons, dengan mencantumkan nama, alamat rumah, nomor telepon, dan alamat email “target”.
Namun email tersebut sebenarnya bukan berasal dari Corse atau siapa pun di Kantor Sheriff Jacksonville. Itu dikirim oleh anggota kelompok peretas yang menyediakan layanan doxing kepada pelanggan yang bersedia membayar untuk data pribadi sangat sensitif yang disimpan oleh perusahaan teknologi di Amerika Serikat.
“Ini memakan waktu 20 menit,” Exempt, salah satu anggota kelompok yang melakukan taktik tersebut, mengatakan kepada WIRED. Dia mengklaim bahwa kelompoknya telah berhasil mengumpulkan informasi serupa dari hampir semua perusahaan teknologi besar AS, termasuk Apple dan Amazon, serta platform lain seperti situs berbagi video Rumble, yang populer di kalangan influencer sayap kanan.
Exempt membagikan informasi yang dikirimkan Charter Communications kepada grup tersebut dengan WIRED, dan menjelaskan bahwa korbannya adalah seorang “gamer” dari New York. Ketika ditanya apakah dia khawatir tentang bagaimana informasi yang dia peroleh digunakan untuk melawan target, Exempt berkata: “Saya biasanya tidak peduli.”
Korban tidak menanggapi permintaan komentar WIRED.
“Sangat memprihatinkan mendengar penjahat menyamar sebagai petugas dengan cara seperti itu, terlebih lagi ketika mereka mengaku sebagai salah satu karyawan kami,” kata Christian Hancock, manajer hubungan media di Kantor Sheriff Jacksonville. Petugas Corse menolak berkomentar.
Piagam Komunikasi menolak berkomentar.
Metode yang mengelabui perusahaan agar memberikan informasi yang dapat digunakan untuk melecehkan, mengancam, dan mengintimidasi korban telah dilakukan. diketahui selama bertahun-tahun. Namun WIRED telah memperoleh wawasan yang belum pernah ada sebelumnya tentang cara salah satu kelompok doxing ini beroperasi, dan mengapa, meskipun sudah diperingatkan selama bertahun-tahun, hal ini masih sering terjadi.
Insiden Piagam Komunikasi adalah salah satu dari 500 permintaan Pengecualian Klaim yang berhasil dibuat dalam beberapa tahun terakhir. Untuk mendukung klaimnya, peretas membagikan banyak dokumen dan rekaman dengan WIRED, termasuk apa yang dia klaim sebagai tangkapan layar permintaan email, panggilan pengadilan palsu, tanggapan dari perusahaan teknologi, dan bahkan rekaman video panggilan telepon dengan tim respons penegakan hukum salah satu perusahaan, yang berupaya memverifikasi permintaan tersebut. Exempt juga membagikan bukti yang menunjukkan bahwa petugas penegak hukum saat ini (Exempt menolak memberikan lokasi atau nama petugas tersebut) melakukan kontak dengan kelompok tersebut dan diduga bekerja dengan mereka untuk mengajukan permintaan dari akunnya sendiri dengan imbalan potongan keuntungan.
“Yang saya butuhkan hanyalah alamat IP, yang bisa saya peroleh dengan mudah, [and] berikutnya yang Anda tahu saya punya nama, alamat, email, dan nomor ponsel, “kata Exempt, menambahkan bahwa dia kemudian dapat menggunakan informasi itu untuk membuat permintaan data darurat. “Dan dengan panggilan pengadilan dan surat perintah penggeledahan, saya dapat mengakses DM, SMS, log panggilan. Itu adalah hidup seseorang sepenuhnya di tangan saya dalam waktu beberapa jam, tergantung pada waktu respons perusahaan atau penyedia.”
Jenis doxing ini tampaknya merupakan bisnis yang menguntungkan. Exempt mengklaim kelompoknya menghasilkan lebih dari $18.000 di bulan Agustus saja. Dalam satu kasus, Exempt mengatakan dia dibayar $1.200 untuk satu dox dari seseorang yang diduga “merawat anak di bawah umur di platform game online miliknya. Orang tersebut kemudian diduga langsung ditampar”.
WIRED meninjau informasi yang diposting online tentang seorang pria berusia 23 tahun dari barat daya AS, yang mencakup alamat rumah, nomor telepon, alamat email, dan akun media sosial mereka. Orang tersebut tidak menanggapi permintaan komentar WIRED. WIRED tidak dapat memastikan secara independen apakah orang tersebut telah ditampar.
Di AS, lembaga penegak hukum federal, negara bagian, dan lokal yang perlu mengidentifikasi pemilik akun media sosial, atau detail tentang telepon tertentu, mengirimkan panggilan pengadilan atau surat perintah kepada perusahaan terkait untuk meminta informasi tersebut.
Semua perusahaan besar yang beroperasi di AS memiliki departemen dan staf khusus yang ditugaskan untuk menangani permintaan ini, yang biasanya dikirim melalui email. Perusahaan, ketika mereka meninjau panggilan pengadilan dan melihat bahwa panggilan tersebut berasal dari lembaga penegak hukum, biasanya akan memenuhi permintaan tersebut, terkadang mengambil langkah verifikasi tambahan seperti menelepon petugas yang terlibat untuk mengonfirmasi bahwa mereka memang mengirimkan permintaan tersebut.
Namun petugas juga dapat membuat permintaan data darurat, atau EDR, dalam kasus-kasus yang melibatkan ancaman bahaya atau kematian. Permintaan ini biasanya melewati setiap langkah verifikasi tambahan oleh perusahaan yang berada di bawah tekanan untuk memenuhi permintaan tersebut secepat mungkin.
Ini adalah celah yang dapat dieksploitasi oleh peretas seperti Exempt, yang mengatakan bahwa dia adalah “laki-laki Gen Z yang berlokasi di wilayah Eropa”.
Masalahnya sebagian berasal dari fakta bahwa terdapat sekitar 18.000 lembaga penegak hukum di AS, yang semuanya menggunakan konvensi penamaan email dan pendaftaran domain mereka sendiri, termasuk .us, .net, .org, .gov, dan .com.
Para peretas biasanya menggunakan salah satu dari dua cara untuk mengelabui perusahaan agar mereka percaya bahwa email tersebut berasal dari lembaga penegak hukum yang sebenarnya. Dalam beberapa kasus, mereka menggunakan akun email asli penegak hukum yang telah mereka kompromikan melalui rekayasa sosial atau menggunakan kredensial yang dicuri dalam peretasan sebelumnya. Di lain waktu, mereka membuat domain palsu yang meyakinkan dan mirip dengan departemen kepolisian yang sah.
“Ini adalah alamat email yang terlihat seperti aslinya,” kata Exempt, menjelaskan mekanisme bagaimana dia menipu Charter Communications. “Domain sebenarnya dari Kantor Sheriff Jacksonville di Florida adalah jaxsheriff.org. Kami membeli jaxsheriff.us dan kemudian memalsukan nomor kami sebagai nomor departemen, sehingga ketika kami menelepon mereka untuk memverifikasi penerimaan proses hukum, ketika mereka mencari nomor tersebut, nomor itu akan kembali ke kantor sheriff, sehingga mereka tidak punya alasan untuk meragukannya. Kami juga menggunakan nomor lencana dan nama petugas yang sebenarnya.”
Para peretas juga membuat dokumen resmi palsu yang sangat meyakinkan dengan meniru catatan resmi.
“Kami melihat panggilan pengadilan yang sebenarnya melalui catatan publik jika tersedia dan menggunakan kata-kata dan bagian undang-undang yang benar secara hukum dalam panggilan pengadilan tersebut sehingga semuanya benar dan mengikat secara hukum, sehingga secara realistis kami tidak memiliki peluang bagi mereka untuk menebak-nebak,” kata Exempt. Hal ini telah berhasil dilakukan di banyak negara bagian dan pengadilan di AS, klaimnya.
“Sebagai langkah verifikasi tambahan, terkadang kami memeriksa secara online untuk melihat apakah hakim yang disebutkan namanya benar-benar hadir di pengadilan pada hari itu, sehingga jika sebuah perusahaan akan menelepon dan memverifikasi, mereka akan berada di gedung tetapi kemungkinan besar terlalu sibuk untuk dapat memverifikasi dokumen tunggal tersebut,” kata Exempt.
Dalam banyak kasus, kata Exempt, email dan panggilan pengadilan terlampir sudah cukup untuk mengekstrak informasi. Dalam satu contoh yang dibagikan kepada WIRED, Exempt mengklaim bahwa kelompoknya, yang menurutnya terdiri dari sekitar sembilan orang yang berlokasi di Eropa dan AS, dapat memperoleh informasi yang digunakan untuk mendaftarkan akun resmi Rumble milik aktivis sayap kanan Inggris Tommy Robinson.
Robinson dan Rumble tidak menanggapi permintaan komentar.
Bahkan dalam kasus di mana perusahaan mengambil langkah tambahan untuk memverifikasi bahwa panggilan pengadilan berasal dari petugas sebenarnya, para peretas dapat menghindari hal ini.
Dalam rekaman panggilan telepon yang dibagikan dengan WIRED, perwakilan dari tim respons penegakan hukum Amazon menelepon nomor yang disertakan dalam email palsu yang dikirim Exempt, dan berbicara dengan Exempt untuk memverifikasi bahwa mereka telah menerima dokumen yang dia kirimkan kepadanya melalui portal online.
“Amazon mengidentifikasi dan memblokir seseorang yang meminta data dari kami sambil menyamar sebagai penegak hukum,” kata Adam Montgomery, juru bicara Amazon. “Peniru menerima data akun dasar kurang dari 10 pelanggan. Kami segera mengambil langkah untuk melindungi akun pelanggan ini, dan telah menerapkan perlindungan tambahan untuk mencegah hal ini terjadi lagi.”
Ketika ditanya rincian mengenai perlindungan apa saja yang dimaksud, Amazon menolak berkomentar.
Meskipun para peretas jelas mengeksploitasi celah besar dalam sistem, dalam beberapa kasus, perusahaan teknologi sendiri telah memberikan panduan langkah demi langkah tentang cara menyusun permintaan ini.
“Untuk meminta agar Apple secara sukarela mengungkapkan informasi dalam keadaan darurat, pejabat pemerintah atau penegak hukum yang meminta harus melengkapi formulir Permintaan Informasi Pemerintah Darurat & Penegakan Hukum dan mengirimkannya langsung dari alamat email resmi pemerintah atau penegak hukum mereka ke [a specific @apple.com email address] dengan tulisan “Permintaan Darurat” di baris subjek, Apple menulis.
Exempt membagikan kepada WIRED contoh permintaan yang dia buat kepada Apple menggunakan panggilan pengadilan palsu serta informasi yang dikirim kembali oleh Apple kepadanya yang mencakup alamat rumah, nomor ponsel, dan alamat email pemegang akun iCloud. Apple tidak menanggapi permintaan komentar.
Satu basis data daring dikelola oleh SEARCH, sebuah organisasi pendukung peradilan pidana nirlaba, mencantumkan rincian kontak langsung untuk divisi penegakan hukum di lebih dari 700 penyedia layanan internet dan penyedia konten online lainnya.
“Masalah intinya bukanlah kecerobohan perusahaan, melainkan saluran komunikasi tradisional, seperti email, tidak dibangun untuk tingkat verifikasi identitas, evaluasi konteks, dan pengambilan keputusan real-time yang diperlukan oleh penyelidikan modern dan kepatuhan hukum,” kata Matt Donahue, mantan agen FBI yang meninggalkan lembaga tersebut pada tahun 2020. Segera setelah itu, Donahue mendirikan Kodex, sebuah perusahaan yang bekerja dengan klien bisnis untuk membangun portal online yang aman yang dapat digunakan oleh penegak hukum untuk membuat permintaan data.
Meskipun teknologi seperti Kodex memberikan alternatif yang jauh lebih aman dibandingkan email, lebih dari 80 persen perusahaan yang terdaftar di database SEARCH masih menerima permintaan data darurat melalui email, menurut sebuah ulasan dilakukan oleh Kodex,
Tetapi bahkan mereka yang hanya menggunakan Kodex pun tidak mengetahuinya. Pengecualian mengklaim bahwa dia dapat membuat permintaan melalui Kodex untuk jangka waktu tertentu, menggunakan akun email penegak hukum yang disusupi. Namun, karena fitur keamanan Kodex yang ditingkatkan, termasuk memasukkan perangkat tertentu ke dalam daftar putih yang dapat digunakan untuk membuat permintaan, Exempt dan kelompoknya kini kehilangan akses ke sistem.
Namun, peretas mengklaim bahwa mereka sekarang berupaya mendapatkan kembali akses melalui cara lain.
“Kami sedang dalam pembicaraan dengan seorang deputi dari kantor sheriff besar… yang kami dibayar untuk melakukan dox [and] yang sekarang tertarik untuk menyewakan akun Kodex-nya kepada kami atau dia dapat mengajukan permintaan kepada kami di pihaknya,” kata Exempt. [the] tahap pembicaraan yang sangat awal. Dia ingin sebagian dari uang yang kami hasilkan dan dokumennya dihapus di situs doxing terkenal.”
Untuk mendukung klaimnya, Exempt membagikan tangkapan layar dugaan pertukaran teks dengan petugas, termasuk gambar buram yang ia sebut sebagai kartu identitasnya. “Kalian semua memiliki SSN dan informasi lainnya yang kalian perlukan tentang saya dan keluarga saya,” tulis tersangka petugas dalam sebuah pesan. “Saya masih ragu-ragu mengenai hal ini saat ini, namun kita semua akan mendapatkan apa yang kita inginkan jika kita membuat iklan[eal].”
Ketika ditanya apakah menurutnya ada kemungkinan petugas tersebut mencoba menjebak mereka, Exempt mengatakan mungkin tidak, “hanya karena fakta bahwa dia telah terkena dox, dan dalam dox tersebut, ada beberapa hal yang sangat memberatkan tentang petugas tersebut, yang jelas-jelas ingin dia hapus. Jadi saya cukup yakin dia jujur tentang fakta bahwa dia sedang mempertimbangkannya.”
Donahue mengatakan sistem Kodex dapat menandai perilaku tersebut karena mampu “mencocokkan pola” perilaku aparat penegak hukum dan cara mereka berinteraksi dengan perusahaan yang menggunakan platform Kodek. “Kami dapat dan memang mendeteksi perubahan perilaku yang memungkinkan kami melindungi pelanggan kami secara terus-menerus dibandingkan dengan verifikasi satu kali saja,” kata Donahue.
Meskipun para peretas memanfaatkan kelemahan keamanan email, mereka juga memanfaatkan keinginan perusahaan untuk membantu penegak hukum menyelamatkan nyawa.
“Koordinasi sektor publik/swasta adalah ruang yang sangat kompleks dan berbeda-beda yang dapat menjadi pembeda antara seorang anak ditemukan di dalam bagasi atau tidak,” kata Donahue. “Permintaan data pemerintah yang sah tetap berlaku di titik persimpangan yang sangat unik antara privasi data, keselamatan publik, keamanan, kepatuhan hukum, dan hak-hak sipil, sehingga siapa pun yang menyarankan agar permintaan ini ditanggapi secara sembarangan dalam hitungan menit berarti mereka tidak memahami pokok bahasannya.”
