Mitto-topman beschuldigd van verkoop toegang tot mobiele netwerken voor spionage

De medeoprichter van Mitto wordt ervan beschuldigd een 'surveillancedienst' te bieden die overheden heeft geholpen bij het volgen van smartphones. Het Zwitserse bedrijf verstuurt onder andere sms-berichten met 2fa-verificatiecodes voor bedrijven als Google en Twitter.

Ex-medewerkers en klanten van Mitto beweren dat de medeoprichter en chief operating officer van Mitto, Ilja Gorelik, toegang tot de 'mobiele netwerken van Mitto' heeft verkocht voor surveillancedoeleinden. Dat blijkt uit een gezamenlijk onderzoek van Bloomberg en het Bureau of Investigative Journalism.

Mitto is een Zwitsers bedrijf dat in 2013 is opgericht. Het bedrijf verstuurt onder meer geautomatiseerde sms-berichten met 2fa-verificatiecodes voor verschillende techgiganten. Bedrijven als Google, Twitter, WhatsApp, LinkedIn en Telegram maken gebruik van Mitto's diensten, schrijven Bloomberg en het onderzoeksbureau.

Het bedrijf heeft volgens de twee media in de afgelopen jaren 'relaties gevestigd met telecomproviders in honderden landen'. Onder de partnernetwerken van Mitto behoorden onder andere Vodafone, Telefonica, MTN en Deutsche Telekom, blijkt uit bedrijfsdocumenten die door Bloomberg en het bureau zijn ingezien. Daarmee heeft Mitto 'deals gesloten die het bedrijf in staat stelden om berichten te versturen naar miljarden telefoons in de meeste uithoeken van de wereld'.

De vermeende surveillance-activiteiten

De netwerken van Mitto zouden, naast de 2fa-activiteiten en andere diensten die het bedrijf biedt, echter ook gebruikt zijn om de fysieke locaties van smartphones van bepaalde gebruikers te volgen. Daarvoor zijn volgens het onderzoek kwetsbaarheden in het SS7-telecomprotocol misbruikt, die het onder andere mogelijk maken om de fysieke locatie van smartphones te achterhalen en spraak- en tekstberichten te onderscheppen.

De medeoprichter van Mitto zou deze vermeende surveillancedienst hebben aangeboden aan surveillancebedrijven, die op hun beurt contracten hebben gesloten met 'overheidsdiensten'. Klanten van Mitto zouden niet op de hoogte zijn gebracht van de vermeende surveillance-activiteiten, claimen de anonieme bronnen.

Twee ex-medewerkers van een betrokken surveillancebedrijf beweren dat het bedrijf waar zij werkten aangepaste software bij Mitto heeft geïnstalleerd, in samenwerking met Gorelik. Die software zou gebruikt kunnen worden om de locatie van smartphones te volgen en 'in bepaalde gevallen' ook de call logs van specifieke personen te verkrijgen. Volgens de anonieme bronnen was er binnen de bedrijven 'vrijwel geen toezicht' op de vermeende surveillancesoftware.

Volgens uitspraken van een securityanalist en documenten die door Bloomberg en het Bureau of Investigative Journalism zijn ingezien, zou de software in mistens een geval zijn ingezet bij een telefoonnummer van een hooggeplaatste ambtenaar van het Amerikaanse ministerie van Buitenlandse Zaken. Het is niet bekend welke opdrachtgever deze ambtenaar gevolgd zou hebben.

Reactie van Mitto

Mitto reageert tegenover de twee media dat het bedrijf zelf niet betrokken is bij de surveillance-activiteiten. Het bedrijf heeft een intern onderzoek gestart om na te gaan of hun 'technologie en bedrijfsactiviteiten zijn gecompromitteerd'. Indien nodig, zal het bedrijf naar eigen zeggen 'corrigerende maatregelen' nemen.

"We zijn geschokt door de beweringen tegen Ilja Gorelik en ons bedrijf," meldt Mitto in een statement. "Voor alle duidelijkheid, Mitto organiseert en exploiteert geen apart bedrijf, divisie of entiteit die surveillancebedrijven toegang biedt tot telecominfrastructuur om stiekem mensen te lokaliseren via hun mobiele telefoons, of andere illegale handelingen, en heeft dat ook niet gedaan." Ilja Gorelik heeft zelf nog niet gereageerd op de beschuldigingen en Mitto wilde niet bevestigen of Gorelik nog bij het bedrijf werkt.

Update, 19.06 uur: Er zijn meer details over de netwerken van Mitto en de vermeende surveillance-activiteiten toegevoegd aan het artikel.

IT-banen

Reacties (15)

Yzord 6 december 2021 21:56

Zo dan 😳 lekker verhaal zeg. Wie is er tegenwoordig nog te vertrouwen zeg. Inzicht in 2fa berichten geven, echt te sick voor woorden. En dan niet eens dmv een gerechterlijk bevel. Nee, gewoon verkocht ook nog.

Van mij mag hij een flinke straf krijgen. Walgelijk gewoon.

wind-rider 6 december 2021 18:49

Het artikel is wat verwarrend geschreven - kan iemand uitleggen hoe een bedrijf via het versturen van een sms de locatie van de ontvangende telefoon van volgen? Aangezien dit bedrijf waarschijnlijk zelf geen masten heeft, en waarschijnlijk ook geen low-level toegang heeft tot de infrastructuur van de daadwerkelijke telecomproviders?
Er zijn genoeg bedrijven die geautomatiseerde smsdiensten bieden, hoe is dit bedrijf anders?

slaapkopje @wind-rider • 6 december 2021 20:59

Voor het versturen van een sms wordt eerst een SRI_for_SM verstuurd via SS7 MAP om erachter te komen in welke MSC de ontvanger zit, het idee is dat het berichtje dan al naar de juiste regio gestuurd kan worden, tegenwoordig is dat niet meer zo relevant vanwege de schaalvergroting, maar zo werkt het protocol dus nog wel. Via home routing kun je andere partijen vertellen dat ze de sms in een centrale plek kunnen achterlaten, maar het lekken van routing information is een bekende vulnerability

Auteur

AverageNL Nieuwsredacteur @wind-rider • 6 december 2021 19:11

Het artikel was inderdaad niet duidelijk genoeg, excuses daarvoor. Voor de goede orde: ik heb inmiddels meer details toegevoegd over het netwerk van Mitto (samenwerkingen met 'veel' telecomproviders) en hoe ze de locatie van smartphones onderschept zouden hebben (kwetsbaarheden in een telecomprotocol). Om de leesbaarheid te verbeteren, heb ik ook nog wat tussenkopjes toegevoegd. Ik heb onderaan het artikel kenbaar gemaakt dat het stuk is geüpdatet

Trashed @AverageNL • 6 december 2021 23:13

Ik heb onderaan het artikel kenbaar gemaakt dat het stuk is geüpdatet

Het ligt aan mij, ik weet het, maar.. wat vind ik het een vreselijk woord: geüpdatet.. wat is er toch mis aan bijgewerkt?

robenroute @Trashed • 7 december 2021 20:11

Ik wil je eigenlijk wel een +3 geven, maar dat kan niet volgens de regels (is ook goed dat die er zijn). Maar je hebt wel een punt.

Groningerkoek @wind-rider • 6 december 2021 19:36

Dit bedrijf had door hun contracten SS7 toegang tot de providers en misbruikte dit via lekken in SS7 meer info te krijgen dan waar het recht op had. Als de providers vervolgens niet controleren en de klanten geen goede audits uitvoeren is er niemand die dit merkt en kan het jarenlang plaatsvinden. Zeer kwalijke zaak, en Zwitserland kennende denk ik volgend jaar in de krant te kunnen lezen hoe lang de gevangenisstraffen zullen zijn.

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 12:25]

IJzerlijm @wind-rider • 7 december 2021 09:47

Als de afzender de ID van de mast krijgt waar het bericht is afgeleverd kan je de lokatie bepalen. Daarvoor heb je niet eens iemand bij de operator nodig die je een lijst lokaties van de masten doorspeelt, je laat een paar lui door heel Nederland gaan en die stuur je elke minuut zo'n berichtje dat dan aan de GPS van dat moment wordt gekoppeld. Zo weet je snel genoeg welke ID bij de vertrekhal van Schiphol hoort en welke bij het Binnenhof.

Groningerkoek 6 december 2021 18:48

"toegang tot de mobiele netwerken van Mitto heeft verkocht."

Mitto heeft geen eigen netwerken, ze bieden services aan voor marketing, vergaderingen e.d. en sluiten contracten af met eigenaren van netwerken om hun SMS/Spam of whatever grootschalig te kunnen verspreiden.

field33P 6 december 2021 18:58

Ik vind het maar een raar verhaal.

It later became clear how he knew what websites they were visiting. In the summer of 2019, a group of developers at Mitto’s office in Berlin discovered that Gorelik had installed a spy tool on work computers, which would take a screenshot every two minutes. Bloomberg reviewed images showing the spy tool in operation. It is illegal for companies to install spyware on employee computers in Germany unless there is solid evidence of criminal behavior or serious breach of duty, according to Henriette Picot, a Munich-based commercial technology lawyer.

Je zou denken dat hier aangifte van gedaan is. En daarnaast is het ook misschien niet helemaal slim om je bedrijf in het vizier te plaatsen van de FBI omtrent bespioneren van Amerikaanse diplomaten.

Iblies @field33P • 7 december 2021 11:17

Het is ook een raar verhaal;

https://arstechnica.com/i...was-hacked-for-five-years

Syniverse said that its "investigation revealed that the unauthorized access began in May 2016" and "that the individual or organization gained unauthorized access to databases within its network on several occasions, and that login information allowing access to or from its Electronic Data Transfer ('EDT') environment was compromised for approximately 235 of its customers."

Customer is dus cliënten van Syniverse en niet iemand die SMSje ontvangt.

Syniverse says its intercarrier messaging service processes over 740 billion messages each year for over 300 mobile operators worldwide. Though Syniverse likely isn't a familiar name to most cell phone users, the company plays a key role in ensuring that text messages get to their destination

Verder geen uitleg oid, anders dan de mededing dat ze gedaan hebben wat ze moeten doen en dat dit “incident” verder geen gevolgen heeft gehad voor de bedrijfsvoering, cq ze hebben niet stilgestaan oid.

Het is vrij opvallend dat over een Zwitsers bedrijf dit heel breed wordt uitgemeten, maar een bedrijf uit de VS staat met niet eens normaal bij stil terwijl Syniverse ook actief is in oa de EU.

edit; toevoeging, op tweakers is bericht mbt Syniverse blijkbaar ook niet doorgedrongen, hier staat geen berichtgeving verder terwijl het soortgelijke diensten aanbied waaronder verificatiecodes.

[Reactie gewijzigd door Iblies op 23 juli 2024 12:25]

gundenium 6 december 2021 20:54

Westerse normen en waarden te koop voor een handje vol dollars en euro's. En dan maar preken dat men in niet europese landen zo verschrikkelijk bezig zijn. Je misdaded uitbesteden en je handen in onschuld wassen werkt niet.

Wilt het westen doorgaan met preken en er wat mee willen bereiken, dan moeten zulke bedrijven uit elkaar getrokken worden, iedereen die eraan heeft gewerkt levenslangs geven en alle afnemers van hun diensten openbaren.

Cergorach @gundenium • 6 december 2021 21:17

Welke 'westerse normen en waarden'? It's all about the Euro, dat is het altijd geweest, nu, 10 jaar geleden, 100 jaar geleden, 1000 jaar geleden. De aanname dat mensen uit land/cultuur/regio x betere 'normen en waarden' is ook lachwekkend te noemen.

Nadenken over je eigen vrijheden gaat een heel stuk beter als je de tijd en energie hebt om die er in te steken, als je constant bezig bent met werken om maar te kunnen overleven blijft er weinig tijd over voor wat anders. Nadenken over vrijheden van een ander is een uitermate luxe positie van een rijke persoon die kennelijk weinig anders om handen heeft...

Natuurlijk helpt het ook niet als diezelfde mensen de wetten maar naast hun neerleggen en op onderbuikgevoel roepen wat voor straffen een ander moet krijgen... Zoals ik al zij, teveel vrije tijd! ;-)

ELD @Cergorach • 7 december 2021 10:09

De aanname dat mensen uit land/cultuur/regio x betere 'normen en waarden' is ook lachwekkend te noemen.

Deze stelling is niet zonder kritiek en valt onder de noemer cultuurrelativisme. Het is daarom zeker niet lachwekkend. Het boek The Moral Landscape van Sam Harris gaat hier o.a. op in en hij bespreekt een concept framework waarmee culturen wel degelijk vergeleken kunnen worden over hoe ze het welzijn van mensen kunnen bevorderen of verslechteren. Daarnaast heb je voorstaande filosofen die het tegenovergestelde beweren e.g. Kant.

Ook conflicteert het concept van cultuurrelativisme met de rechten van de mens.

PjotterP @gundenium • 7 december 2021 05:24

Vreemde reactie dit. Waarom vergroot je dit tot het ‘westen’ versus de rest en preken?

Ik krijg altijd een beetje een raar gevoel bij dit soort reacties die meteen dit soort (onfortuinlijke) voorvallen in een politiek-polariserende context van westen versus de rest plaatsen.

[Reactie gewijzigd door PjotterP op 23 juli 2024 12:25]

Op dit item kan niet meer gereageerd worden.

De vermeende surveillance-activiteiten

Reactie van Mitto

Lees meer

IT-banen

Reacties (15)

Sorteer op:

Weergave: