Когда «Товарищ Майор» — фейк. Как юристы корпораций «дарят» ваши адреса анонимам из интернета

В мире набирает обороты схема, в которой доксеры выдают себя за полицейских и через «экстренные запросы» заставляют крупные компании раскрывать частные данные людей за считанные минуты. Так, 4 сентября сотрудница юридического центра Charter Communications получила по электронной почте срочный запрос якобы от офицера Джейсона Корса из офиса шерифа Джэксонвилла и быстро передала имя, домашний адрес, телефоны и email «цели», но письмо на самом деле отправил участник группы, продающей доксинг как услугу.

Собеседник WIRED под ником Exempt утверждает, что его группа умеет вытягивать подобные сведения почти у всех крупных американских техкомпаний, включая Apple и Amazon, а также у менее массовых платформ вроде Rumble. В случае с Charter, по его словам, всё заняло около 20 минут, а судьба человека, чьи данные оказались в руках злоумышленников, его обычно не волнует.

По словам Exempt, за последние годы у него могло получиться до 500 успешных запросов. В подтверждение он передал WIRED материалы, которые называет скриншотами писем, фальшивыми повестками и ответами компаний, а также запись разговора с командой одной из компаний, которая пыталась проверить запрос. Отдельно он показал признаки того, что с группой мог контактировать действующий сотрудник правоохранительных органов, якобы предлагая подавать запросы со своего аккаунта за долю прибыли.

Механика выглядит пугающе простой: злоумышленникам достаточно добыть IP-адрес, а дальше они пытаются «привязать» к нему личность, получить контактные данные и использовать их как основу для новых обращений. Exempt прямо говорит, что при наличии повестки и ордера можно добраться и до куда более чувствительной информации вроде личных сообщений, текстов, журналов звонков, то есть фактически «всей жизни» человека, и решают всё лишь скорость ответа компании.

В США официальные запросы от полиции и других ведомств обычно приходят по email, и у крупных сервисов существуют команды, которые обязаны на них реагировать. При этом есть и emergency data requests — экстренные запросы, которые подаются при угрозе неминуемого вреда или смерти и часто обходят дополнительные этапы проверки, потому что бизнес торопится помочь «спасти жизнь». Именно эту лазейку и используют доксеры.

Ситуацию усложняет то, что в стране около 18 тысяч отдельных правоохранительных агентств с разными доменами и правилами именования адресов, из-за чего «похожий на настоящий» email бывает трудно отсеять. Exempt описывает два основных подхода: либо использование настоящих полицейских почтовых ящиков, скомпрометированных через социнженерию или утечки, либо регистрация очень похожих доменов. В истории с Джэксонвиллом, утверждает он, группа купила домен jaxsheriff.us вместо настоящего jaxsheriff.org, подменила номер телефона на номер департамента и использовала реальные бейдж-номера и имена офицеров, чтобы у получателя не возникло сомнений.

По его словам, фальшивые документы делают максимально правдоподобными: берут образцы реальных повесток из публичных записей, вставляют «правильные» формулировки и ссылки на нормы закона, а иногда даже проверяют, находится ли указанный судья в здании суда в этот день. Exempt также заявляет, что его группа смогла получить регистрационные данные аккаунта Rumble, принадлежащего британскому ультраправому активисту Томми Робинсону.

Даже когда компании пытаются перепроверять такие запросы, обход возможен. В одной из записей, которые Exempt передал WIRED, представитель команды Amazon по запросам правоохранителей перезванивал по номеру из письма и разговаривал с самим Exempt, подтверждая получение документов. Amazon в ответ сообщил, что выявил и заблокировал попытку выдавать себя за правоохранителей, при этом злоумышленник успел получить базовые данные менее чем по 10 клиентам, после чего компания «быстро приняла меры защиты» и добавила новые барьеры, но подробности раскрывать не стала.

Отдельная проблема в том, что некоторые инструкции по экстренным запросам выглядят почти как рецепт: в тексте приводится пример того, как Apple описывает процедуру добровольного раскрытия данных в чрезвычайной ситуации через специальную форму и отправку с «официального» адреса. Exempt показал WIRED пример обращения к Apple с фальшивой повесткой и ответ, который, по его словам, содержал домашний адрес владельца iCloud, номер телефона и email.

Дополнительный слой риска создаёт инфраструктура «для удобства» — например, база, которую поддерживает некоммерческая организация SEARCH и где собраны прямые контакты подразделений по взаимодействию с правоохранителями у сотен провайдеров и онлайн-сервисов. Бывший агент ФБР Мэтт Донахью, который после ухода из бюро основал компанию Kodex, считает, что корень проблемы — в том, что электронная почта не была создана для такого уровня проверки личности и контекста, а безопаснее работать через защищённые порталы. При этом, по оценке Kodex, более 80% компаний из базы всё ещё принимают экстренные запросы по email.

Но и порталы не гарантируют абсолютной защиты. Exempt утверждает, что какое-то время мог подавать запросы через Kodex, используя скомпрометированные полицейские почты, однако затем потерял доступ из-за усиленных механизмов вроде привязки к доверенным устройствам. Теперь, по его словам, группа обсуждает с заместителем шерифа из крупного офиса вариант аренды аккаунта Kodex или подачу запросов «с его стороны» за процент и при условии удаления его данных с известного доксинг-сайта; в качестве подтверждения он показал скрин переписки с размытым изображением, которое называет удостоверением.

Донахью при этом подчёркивает, что подобные запросы находятся на стыке приватности, безопасности, закона и гражданских прав, а скорость реакции иногда действительно может решать судьбу человека, поэтому механика не сводится к «халатности за минуты». Он также говорит, что Kodex способен отслеживать подозрительные изменения поведения пользователей и выявлять злоупотребления не только через разовую проверку, но и через поведенческий анализ.