Hackers deden zich voor als opsporingsambtenaren bij verzoeken techbedrijven

Hackers hebben zich vorig jaar voorgedaan als medewerkers van opsporingsdiensten die officiële verzoeken voor informatie deden bij techbedrijven. Dat gebeurde vorig jaar onder meer bij Apple, Meta, Snap en Discord.

De hackers vervalsten onder meer de handtekeningen van medewerkers van opsporingsdiensten die dergelijke verzoeken doen, meldt Bloomberg. Ook lieten ze de verzoeken er zo echt mogelijk uit zien. De hackers probeerden privé-informatie over gebruikers van die bedrijven los te krijgen op die manier, zo claimt het financieel persbureau.

Meta, Apple en Discord honoreerden die verzoeken en stuurden informatie op, zegt het persbureau. Van Snap is dat niet bekend. Alle bedrijven hebben verificatiemethodes om te checken of de informatieverzoeken echt zijn, maar kennelijk vielen de hackers daarbij niet door de mand. Het gaat vermoedelijk om tieners uit de VS en het Verenigd Koninkrijk.

Het gaat onder meer om fysieke adressen, ip-adressen en telefoonnummers van gebruikers van Meta, Apple en Discord. Het is onbekend om hoeveel gebruikers het gaat. Meestal gaat het bij dergelijke verzoeken om informatie over een klein aantal gebruikers voor gebruik in opsporingsonderzoek. Grote techbedrijven ontvangen dergelijke verzoeken dagelijks.

Door Arnoud Wokke

Redacteur

Feedback • 31-03-2022 07:27
33 • submitter: juliank

31-03-2022 • 07:27

33 Linkedin

Submitter: juliank

Lees meer

Onderzoekers: elf Android-apps verzamelden data van miljoenen gebruikers Nieuws van 7 april 2022
FBI wil opnieuw hulp van Apple om iPhone te ontgrendelen Nieuws van 9 januari 2020
Politie en fiscus krijgen eind dit jaar geautomatiseerd toegang tot bankdata Nieuws van 5 februari 2019
'FBI vroeg Google om data over alle gebruikers binnen gebied rond plaats delict' Nieuws van 16 augustus 2018
Hooggerechtshof VS: opvragen locatiegegevens telefoon vereist doorzoekingsbevel Nieuws van 22 juni 2018
Nederlandse opsporingsdiensten vroegen in 2017 vaker gegevens op bij providers Nieuws van 22 mei 2018
Meer producten en artikelen
Privacy Apple Meta Discord Hackers Snapchat Verenigde staten

Reacties (33)

-Moderatie-faq
33
33
14
2
1
15
Wijzig sortering
DeZwarteKip
31 maart 2022 08:31
Waar het hier om gaat zijn zogenaamde EDRs (Emergency Data Requests) waarbij zoveel haast geboden is met het verstrekken dat er echt levens op het spel staan.

In Nederland kennen we dit ook maar er zijn ook andere situaties. Als iemand kwijt is, bijvoorbeeld een minderjarige, dan is er niet altijd direct en reden om te denken dat er een misdrijf heeft plaatsgevonden. Het vorderen van data is dan in dat stadium ook nog niet mogelijk. Op basis van de algemene taakstelling van de politie (artikel 3 Politiewet) wordt dan aan bedrijven zoals Facebook gevraagd om op een zekere vrijwilligheid die data te verstrekken.

Over deze vragen zijn afspraken gemaakt zodat deze wel aan bepaalde voorwaarden moeten voldoen. Is er. wel sprake van verdenking, zoals onttrekking aan het ouderlijk gezag of wellicht nog ernstiger dan kunnen de BOB (Bijzondere Opsporingsbevoegdheden) artikelen uit het Wetboek van Strafvordering gebruikt worden om de data bij bedrijven te vorderen.
Is de gevorderde partij buitenlands dan is er sprake van internationaal recht en zal er een Europees Onderzoeksbevel (EOB) of rechtshulpverzoek (RHV) gestuurd moeten worden aan de buitenlandse autoriteiten. Dat neemt vaak veel tijd in beslag die er in dit soort casussen dan weer niet is.
Afhankelijk van de gevraagde data en de vraag of de gevorderde een aanbieder van een communicatiedienst betreft zal er een toetsing plaatsvinden door ofwel de Officier van Justitie of een Rechter-Commissaris.
BarôZZa
@DeZwarteKip31 maart 2022 09:27
Waar het hier om gaat zijn zogenaamde EDRs (Emergency Data Requests) waarbij zoveel haast geboden is met het verstrekken dat er echt levens op het spel staan.
De ironie is natuurlijk dat je door zo gemakkelijk gegevens te verstrekken juist ook weer levens op het spel zet.

Niet verbazingwekkend dat dit weer bij Apple en Meta speelt, allebei niet echt voorvechters van de privacy en erg bereid om mee te werken.

Ook wel treurig hoe erg het internet is veranderd door de jaren heen. Vroeger moesten partijen echt vechten om ergens gegevens van gebruikers op te vragen. Inmiddels staat de deur wagenwijd open en aangezien vrijwel alle communicatie via een paar gigantische platforms verloopt is het een eitje om in het leven van de gemiddelde burger te kijken.
lmartinl
@BarôZZa31 maart 2022 10:38
Niet verbazingwekkend dat dit weer bij Apple en Meta speelt, allebei niet echt voorvechters van de privacy en erg bereid om mee te werken.
Beetje cynische reactie. Je kunt ook stellen dat zij zo groot zijn dat ze aan de lopende band information retrieval requests krijgen.

Als je een almachtige instantie hebt waar jij je maar aan te confirmeren hebt, met verregaande zwijgplicht (bijv die jou verbieden misstanden publiek te maken) heb je niet altijd een andere keuze dan te confirmeren.

En wat doe je als die almachtige instantie zelf met onveilige processen werken, die je niet mag weigeren?

Imo is dit echt falen van de overheidsinstanties / democratie, niet zo zeer de techbedrijven.
Skyclad
@lmartinl31 maart 2022 11:57
Een paar minuten extra om alles te controlleren en mensen te bellen om te doublechecken kan ervoor zorgen dat iemand komt te overlijden op zo'n moment.

Jaren geleden hielp ik als vrijwilliger op de forums van een MMO welke door een Duits bedrijf gedraaid werd. In het spel was er een jonge gast die een meisje aan het stalken was, en toen ze hem blokkeerde aankondigde zelfmoord te plegen. Het was 99% zeker dat het bluf was. Maar die 1% risico kon ik niet nemen. Ik had het telefoonnummer van de community manager en belde hem. Hij belde de CEO wakker, en die heeft de logs en IP gegevens aan de Duitse politie gegeven. Vervolgens hebben zij contact gezocht met de politie in het land waar die jongen woonde, en die hebben via zijn provider achterhaald waar hij woonde en zijn daar heen gegaan. Als de provider en beide politie eenheden eerst allerhande extra controles hadden gedaan had het zeker 15-30 minuten extra gekost, zo niet meer. De jongen had inderdaad gebluft en heeft genadeloos op zijn kop gekregen van zijn ouders (hij was opeens een stuk rustiger ingame en heeft haar nooit meer gestalkt), maar als het niet bluf was geweest had 15-30 minuten extra leegbloeden het verschil tussen leven en dood kunnen zijn.

(Edit: En dat was als reply op de post van BarôZZa bedoeld)

[Reactie gewijzigd door Skyclad op 31 maart 2022 11:59]

DrBackBeat
@BarôZZa31 maart 2022 10:33
Je lijkt vooral graag een kans aan te grijpen om te haten op deze big techs. En er valt genoeg te haten hoor, maar meewerken met wetgeving en overheidsorganen is nou niet iets wat je hen kwalijk mag nemen. Je kunt ook niet stellen dat de deur wagenwijd open staat, hoogstens dat er meer checks gemaakt of gehandhaafd moeten worden om te voorkomen dat dergelijke criminelen, die hun voorwerk blijkbaar heel goed doen, deze informatie kunnen ontfutselen.

Overigens denk ik niet dat Apple en Meta staan te springen om dergelijke gebruikersdata gratis en niet geanonimiseerd rond te smijten, dit doen ze ook omdat ze moeten of hooguit omdat ze niet het moment willen afwachten tot ze moeten. Daarmee zeg ik overigens niets over hoe goed hun beveiliging is, of hoe graag ze voor een prijs en wel geanonimiseerd de informatie aanbieden.
The Zep Man
31 maart 2022 07:33
Grote techbedrijven ontvangen dergelijke verzoeken dagelijks.
Kennelijk niet digitaal ondertekend met een certificaat uitgegeven door een overheid CA. Gezien hoe belangrijk een paper trail is in dit soort situaties, is dat wel het minste dat ik zou verwachten.

[Reactie gewijzigd door The Zep Man op 31 maart 2022 07:33]

Philipvda
@The Zep Man31 maart 2022 07:57
Kan mij niet voorstellen dat dit in Nederland was, bij veel verzoeken moet een machtiging zijn van de RC om zulke verzoeken te versturen.
hcQd
@Philipvda31 maart 2022 08:20
Het ging hier om noodverzoeken, waar geen gerechtelijk bevel vooraf voor nodig is. Staat in het bronartikel, en ook de NOS meldt dit in hun nieuwsbericht, maar Tweakers is dat in een of andere reden vergeten. Ik weet niet hoe dat in Nederland geregeld is.

[Reactie gewijzigd door hcQd op 31 maart 2022 08:22]

marcieking
@Philipvda31 maart 2022 08:05
En dat is niet te vervalsen?
Raventhorn
@marcieking31 maart 2022 12:34
Als je goed je best doet is alles te vervalsen. ;) Het gaat er vooral om hoe eenvoudig dat is.
We laten toch ook de sloten op onze buitendeuren niet achterwege simpelweg omdat de bijbehorende sleutel te vervalsen is? Het werpt een extra drempel op, maar is zeer zeker geen ondoordringbare beveiliging.

Het verplicht laten ondertekenen van dit soort verzoeken door een CA die bij de bijbehorende dienst hoort en ondertekent is door de CA van de betreffende overheid zorgt er voor dat het veel minder makkelijk te misbruiken is zoals nu gebeurd is.
Betekent uiteraard wel dat men daar ook op moet controleren, maar zowel het ondertekenen als controleren daarop kan geautomatiseerd worden...
Hogarts
@Raventhorn31 maart 2022 14:40
Het verplicht laten ondertekenen van dit soort verzoeken door een CA die bij de bijbehorende dienst hoort en ondertekent is door de CA van de betreffende overheid zorgt er voor dat het veel minder makkelijk te misbruiken is zoals nu gebeurd is.
Betekent uiteraard wel dat men daar ook op moet controleren, maar zowel het ondertekenen als controleren daarop kan geautomatiseerd worden...
Het probleem met dit soort ideeën is dat het heel makkelijk klinkt alleen dat het praktisch heel erg moeilijk is om dit wereldwijd te regelen.

In Principe is het redelijk te implementeren als je het enkel gebruikt om sneller toestemming te verlenen bij een correcte match en je alle mismatches nog net zo behandelt als nu gebeurt.
Maar als je mismatches ook automatisch gaat weigeren dan creëer je allerlei problemen (bijv op dit moment zou ik niet weten of de CA van de Oekraïne nog betrouwbaar is of dat de Russen erbij kunnen, dus die zou ik uit het systeem halen voorlopig. En daarnaast heb je wereldwijd enkele naties die gewoon helemaal geen CA hebben, of de CA uitbesteed hebben aan een commerciële partij daar wil je ook niet zomaar privacy verzoeken voor vrijgeven)
Philipvda
@marcieking2 april 2022 23:16
Een machtiging van de RC krijg je vaak telefonisch om mee te beginnen. Maar is vaak al op de hoogte van de zaak vanaf het begin, zo niet sowieso contact gehad met de officier van justitie. Die namen zijn veelal bekend omdat er niet zoveel van zijn. En dan moet je dus ook goed op de hoogte zijn van alle details van de zaak + ambtelijk goed kunnen schrijven. Iets wat je niet ff leert.

Het is echt heel lastig die te vervalsen en als het lukt, wat dan? Dan moet je ook upload links naar het OM/Politie vervalsen die uniek zijn en beveiligd.
vanaalten
@The Zep Man31 maart 2022 07:38
De hackers vervalsten onder meer de handtekeningen van medewerkers van opsporingsdiensten die dergelijke verzoeken doen, meldt Bloomberg.
Zo te zien was die paper trail er wel degelijk, maar op fysiek papier.
z1rconium
@The Zep Man31 maart 2022 10:26
In bedrijfskritieke omgevingen word regelmatig afgesproken: contact alleen vanaf deze predefined email adressen + plus telefonische verificatie of de email daadwerkelijk door de organisatie was verstuurd.
nst6ldr
@The Zep Man31 maart 2022 08:02
Wat dat betreft is het echt bizar hoe weinig e-mails worden ondertekend. (Open)PGP en AutoCrypt zijn zelfs in de grootste organisaties griezelig of ingewikkeld.
Keypunchie
@nst6ldr31 maart 2022 08:30
Nou, tooling maakt het ook niet gemakkelijk hoor.

Recent geprobeerd om VS Code automatisch mijn commits te laten signeren, maar een hele middag prutsen en het werkt, maar ik ben niet heel erg tevreden met de manier waarop.

Om als niet-technische gebruiker dit te doen is pittig hoor.

Pas wanneer Apple, Microsoft en Google tooling in gaan bouwen en makkelijk maken zal het gebeuren. Zie ook 2FA.
The Zep Man
@Keypunchie31 maart 2022 08:54
Om als niet-technische gebruiker dit te doen is pittig hoor.
Als gebruiker hoor je dit dan ook niet in te stellen. Dat moet je organisatie doen. S/MIME is geen raketwetenschap met managed mail clients.

[Reactie gewijzigd door The Zep Man op 31 maart 2022 08:54]

T-men
@The Zep Man31 maart 2022 10:38
Als gebruiker hoor je dit dan ook niet in te stellen. Dat moet je organisatie doen.
Theoretisch heb je helemaal gelijk ! Maar bedenk even hoe dit gaat in de praktijk: een moeder belt in paniek naar het dichtstbijzijnde politiebureau: "Help, mijn kind is kwijt ! Hij was net nog aan het chatten via Facebook en ik heb haar al eerder betrapt dat ze met een enge vent aan het chatten was !"

De agent aan de telefoon ziet reden snel gegevens bij Meta op te vragen. Dat is geen dagelijks werk voor die agent, dus die zal niet heel bekend zijn met alle procedures om in een beveiligd mail-kanaal te geraken, maar haast is geboden. De tijd om accounts aan te vragen of wachtwoorden te zoeken e.d. is er dan niet. Dan werkt een computer veel te zwart-wit. (Kijk maar naar de toeslagen affaire wat onmenselijke computers kunnen veroorzaken) Dus moet dit via een menselijke beoordeling. En mensen maken fouten. Als er dan ook nog valse handtekeningen gebruikt worden, dan is de kans op fouten nog veel groter.

Is het dan goed dat er fouten gemaakt worden ? Nee, dat is het niet ! Maar met starre regels en controles zijn de gevolgen vaak veel groter. In dat geval neem ik (= mijn mening !) een foutje voor lief.
The Zep Man
@T-men31 maart 2022 18:56
Theoretisch heb je helemaal gelijk ! Maar bedenk even hoe dit gaat in de praktijk:
Ik snap niet wat je probeert te vertellen. Uiteraard moet er een whitelist bestaan van mensen/afdelingen waar Facebook juridisch informatie mee mag delen. Dat is niet de wijkagent.

Ga maar eens S/MIME handtekeningen vervalsen. Dat kost meer moeite als dat het waard is (als het je al lukt).

[Reactie gewijzigd door The Zep Man op 31 maart 2022 18:57]

nst6ldr
@T-men2 april 2022 10:10
Je doet het moeilijker klinken dan het is, als je beheerorganisatie (Open)PGP goed implementeert dan worden al je mails ondertekend en alle mails met ondertekening die je ontvangt worden geverifiëerd. Dat staat standaard aan en vergt van de gebruiker geen extra acties. Het moment dat de handtekening niet bekend is, krijgt de gebruiker een waarschuwing.

Dit is echt wel het minste wat je mag verwachten van een beheerclub bij een organisatie als de politie.
Anoniem: 368883
@nst6ldr31 maart 2022 09:02
PGP (of gnupg) zij gewoon te onvriendelijk voor de eindgebruikers, zelfs voor technische mensen is "veilige" setup met offline masterkeys en aparte subkeys voor encyptie en ondertekening een heel gedoe om op te zetten.

Kijk maar eens naar de studie "Why Johny can't encrypt" (https://people.eecs.berke...y_Cant_Encrypt/USENIX.pdf), en dit dateert al vanuit het tijdperk van PGP 5.0 (en er is eigenlijk nog niks verbeterd sindsdien)

Nog een interessant artikel dat uitlegt waar het misloopt bij pgp/gnupg: https://blog.cryptography...13/whats-matter-with-pgp/

Ik had hoge verwachtingen van Keybase als alternatief op lange termijn, maar heb de indruk dat de ontwikkeling wat is stil gevallen sinds de overname door Zoom. Het had een mooi alternatief voor pgp's web-of-trust via sigchains: https://book.keybase.io/docs/server
kaas-schaaf
@nst6ldr31 maart 2022 09:44
Een simpele gesignde PDF zou in dit geval ook prima werken, iets waar veel bedrijven en overheden mee bezig zijn om goed voor elkaar te krijgen. De drempel daarvoor is lager.

[Reactie gewijzigd door kaas-schaaf op 31 maart 2022 09:44]

Automark
@The Zep Man31 maart 2022 09:14
Het zou me niet eens verbazen als dit via een fax binnenkomt. Of als een bijlage in een email. Soms is iets zo simpel en dom dat het gewoon niet verwacht.
Bozebeer38
31 maart 2022 07:58
Daarom ophouden met dit soort te makkelijke praktijken van informatie opvragen door overheden.

Ik bedoel het is duidelijk dat de drempel te laag ligt.
bbob
@Bozebeer3831 maart 2022 08:02
Waarom ophouden, zorg er voor dat er een beter systeem is om dit op te vragen. Artikel nu beschrijft gewoon de zwakste schakel. Daaruit kun je leren en je systeem verbeteren.
the_stickie
@Bozebeer3831 maart 2022 09:09
Je kan niet stoppen met alles wat een keer fout gaat 8)7
Zie het eerder als een kans om te verbeteren!
ltcom
@Bozebeer3831 maart 2022 10:00
Uiteraard weegt jouw privacy belang zwaarder dan het waarschijnlijk redden van een leven.
Zoals @bbob als zegt: leren en verbeteren; niet afschaffen.
Het hele verhaal komt bij Krebs vandaan, btw
ocrammarco
31 maart 2022 08:40
Wat ik me dan afvraag ook al is het dus een aanvraag met spoed je contacteert toch diegene die de aanvraag stuurt per telefoon? Of worden de controles echt alleen maar digitaal of papier gedaan?
BLACKfm
@ocrammarco31 maart 2022 08:59
IT bedrijven of interne IT afdelingen zouden eens wat vaker eigen steekproeven moeten doen.

Heb in mijn werkende carrière (jaartje of 14) pas 3x meegemaakt dat ze wat aandacht vroegen voor phising mailtjes, en zelfs dat was van knullig niveau.

van "Pas op, zo ziet een phising mailtje er uit" tot een daadwerkelijk phisingmailtje met een link naar een website die een vriendelijke boodschap geeft en waar je dan op moet letten.

Het zou 'leuker' zijn als ze het spelletje wat harder spelen zodat de goedbedoelde informatievoorziening niet als een soort spam wordt gezien van 'Oh, daar heb je ze weer, *delete* en door'. Een datalek forceren door mensenlijk handelen (maar dat de gegevens dan eigenlijk intern worden gelekt). Gewoon testen of de medewerkers wel de juiste procedures doorlopen alvorens ze maar klakkeloos gegevens naar een derde partij sturen. Vraag een collega, of desnoods een leidinggevende/directie of zulke verzoeken wel gerechtvaardigd zijn. En inderdaad zoals @ocrammarco hierboven ergens al meld, steek zelf wat meer moeite in je eigen onderzoek door er even achteraan te bellen en het bedrijf die een verzoek doet wat nader te bestuderen. zeker als je er nog nooit van gehoord hebt.
Anoniem: 428562
31 maart 2022 09:09
Er zijn gehackte email accounts van politiediensten gebruikt, minste wat apple en anderen hadden kunnen doen was bellen met politie (tel nr zelf opzoeken niet het nr bellen wat op verzoek staat) en van ondertekenaar via telefoon een bevestiging van het verzoek krijgen.
N3tMonk
31 maart 2022 12:00
Als iemand die zelf ook dergelijke bevragingen afhandelt vind ik het buitengewoon opmerkelijk dat dit voorgevallen is. Een dergelijk verzoek mag enkel ontvangen worden via een geautoriseerd persoon, per mail via een digital signature. Steekproefgewijs wordt er ook nog telefonisch geverifieerd.

Nu is dit appels met peren vergelijken, maar het bevestigd wel (en alweer) dat er zeer veel te winnen is op het gebied van bewustwording en gevaarherkenning..
Hogarts
@N3tMonk31 maart 2022 16:12
Ok, kan jij dan gewoon uit je hoofd opnoemen wie de geautoriseerd persoon voor Tuvalu is?

En of bijv de Oekrainse digital signature nog wel correct is of dat die overgenomen is door de Russen ondertussen...

En dan dus wel in je achterhoofd houden dat het om nood-situaties gaat waarbij praktisch elke seconde telt en men veelal al vele minuten verloren is voordat ze bij jou aankomen.

Op NL of EU nivo zie ik hier wel mogelijkheden voor om dit af te dwingen, maar wereldwijd wordt het toch al snel heel erg complex en traag en dus levenskostend.
regmaster
31 maart 2022 17:50
Zo liepen we vroeger weleens als postbode met een doos onder de arm bedrijven binnen (in opdracht hoor...) om te zien of we nog spullen konden meenemen. Lukte altijd om een doos vol te hebben met laptops telefoons ed... Volle doos bij de receptie inleveren dat degene voor wie deze was er niet is en dan later bellen dat de doos opgehaald ging worden want deze was verkeerd bezorgd. Keek over het algemeen niemand naar, zelfs keek de beveiliging vaak goedkeurend toe. Dus dat hackers dit nog steeds doen verbaasd me niet. Wel weer een stunt overigens.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee