ציוד ההאקינג המשטרתי של סלברייט נמכר באיביי ב-100 דולר
החברה פיתחה ציוד פריצה מתקדם שנמצא בשירות כוחות משטרה וחקירות ברחבי העולם. ואולם, עתה מתברר שמכשיריה הגיעו לידיים לא מורשות ונמכרים בזול באינטרנט. סלברייט: הציוד נמכר בלעדית ללקוחות ספציפיים, ואסור להעבירו לגורמים אחרים
- פוטין, מאחוריך: רפורמת חקיקה בארה"ב תתיר שימוש בסייבר כנשק התקפי
- הותר לפרסום: יחיאל איסקוב הוא שנאשם בגניבת מוצרי סייבר מ-NSO
- סלברייט בדרך לאקזיט לפי שווי של 400 מיליון דולר
הכלים שלה זוהו על ידי סוחר באיביי בשם Mr Balaj, שרכש את אחד המכשירים של החברה, UFED, שמשמש לפריצה לאייפון במכירה פומבית בבריטניה כאשר בטעות חשב שזה טאבלט לילדים. באלאג' לא ידע אפילו מה הוא מחזיק בידיו עד ששמונה חודשים לאחר מכן גילה שמדובר במכשור סייבר התקפי. הוא ואחרים סוחרים במכשירים של סלברייט באיביי בסכומים שנעים בין 100 ל-1,000 דולר. מחיר של UFED חדש עומד על כ-6,000 דולר לא כולל הדרכה ושירות.
איך הגיע ציוד כזה לאיביי?
במקרים רבים, נפטרים כוחות משטרה מציוד עודף, תקול או כזה שהוחלף בחדש יותר בצורה לא מסודרת. ויש הרבה הזדמנויות להחליף: סלברייט משכללת את הציוד שלה כל הזמן והציוד הישן אינו שימושי ללקוחות. ועם זאת מדובר בציוד מקצועי ובעל יכולות מתקדמות גם כשהוא לא מהדגם האחרון. אבל הבעיה העיקרית אינה הזמינות של הציוד - שזו בעיה לסלברייט עצמה בעיקר. אלא העובדה שפעמים רבות הגורמים שנפטרים ממנו לא טורחים למחוק את מידע ואת היסטוריית השימוש שלו. כך למשל לאחר שרכש כעשרה מכשירי UFED ודומיהם מאיביי מצא מת'יו היקי, חוקר סייבר, שבמקרים רבים היו עדיין זמינים עליהם פריטי מידע רגישים כגון מזהי IMEI (מספר הזהות של טלפון סלולרי), סוג המידע שחיפשו החוקרים או הדגם של המכשירים שנפרצו על ידם.
לדברי היקי, בדיקה מעמיקה יכולה להגיע לפרטים רגישים כגון היסטוריית צ'ט, גלישה או אנשי קשר. כמו כן, גילה שפעמים רבות לא טורחים השוטרים והחוקרים לשנות את סיסמת ברירת המחדל - מה שמקל מאוד לגשת לציוד עבור האקר קצת מנוסה. ציוד ישן אולי אינו מעניין משטרה או את ה-FBI, אך הוא עשוי לעניין מאוד חברות חקירות פרטיות או ארגוני פשע. היכולת לפרוץ למכשירים מספקת להם גישה למידע רב ערך, אם בשביל להרוויח יותר כסף עבור הראשונים או פשוט לשבש פעילות של רשויות החוק עבור האחרונים.
מי אחראי על המכשיר?
הציוד הזה היה אמור לחזור לידי סלברייט מהרגע שהשימוש בו הסתיים, מה שלא קרה בשטח. להערכת היקי, יתכן שכוחות המשטרה לא חידשו את החוזה מול החברה ולא טרחו לשלוח אליה את המכשירים. נהלי הטיפול של סלברייט במקרים שכאלה אינם ברורים, ולא ידוע אם היא שאמורה לאסוף את הציוד, או שהלקוחות אמורים לשלוח אותו. כמו כן, לא ידוע אם ביכולת החברה להשבית מרחוק מכשירים שהגיעו לידיים הלא נכונות. לדברי היקי, מצא את ההוראות לפריצת רישיון השימוש במכשיר בפורום האקרים טורקי.
מחברת סלברייט נמסר בתגובה: "אנו מוכרים את המכשירים ללקוחות מורשים בלבד. בחוזה השימוש של סלברייט מול לקוחותיה מצוין במפורש שהשימוש בציוד הוא בלעדי עבורם, וחל איסור מוחלט על מכירה או העברה לגורם אחר. למרות שהמקרים הללו נדירים מאוד, אנו רואים בהם הפרה חמורה של החוזה בינינו ונוקטים פעולות כדי למנוע מקרים כאלה, ולהעלים את התופעה".