Instagramのハンドルネームと暗号通貨を盗み出すハッカーたちを紹介します。犠牲者の弱点は?電話番号です。
SIMハイジャックは、あまり知られていませんが、増加しつつある脅威です。ハッカーに電話番号を盗まれないようにする方法については、これらの攻撃から身を守るためのガイドをお読みください。
ソルトレイクシティ郊外、9月の暖かい夜のことだ。レイチェル・オストルンドは、子供たちを寝かしつけ、自分も眠りにつこうとしていた。妹とメールをしていたとき、不意に携帯電話が使えなくなった。レイチェルが最後に受け取ったメッセージは、彼女のキャリアであるT-Mobileからのものでした。彼女の電話番号のSIMカードが "更新された "と書かれていた。
レイチェルは、その状況でほとんどの人がしたであろうことをしました。しかし、それは役に立たなかった。
彼女は2階に上がり、夫のアダムに電話が通じないことを告げました。アダムは自分の携帯電話でレイチェルの番号にかけようとした。それは鳴りましたが、レイチェルの手の中にある電話は光りませんでした。誰も出なかった。一方、レイチェルは電子メールにログインし、誰かが自分のアカウントのパスワードをリセットしていることに気づきました。1時間後、アダムに電話がかかってきた。
「レイチェルを電話に出してくれ」電話の向こうの声がそう言った。「今すぐだ」。
アダムは断り、何が起こっているのか尋ねた。
"私たちはあなたをファックし、レイプして、あなたの人生を破壊している最中です "と電話の主は言った。"良心があるなら 奥さんに代わってくれ"
アダムは拒否した。
"我々はあなたの信用を破壊するつもりだ "とその人は続け、レイチェルとアダムの親戚の名前とその住所を挙げ、その人はレイチェルのアマゾンアカウントから電話をかけてきたと夫婦は考えています。"私たちが彼らを傷つけたらどうなる?もし私たちが彼らの信用を破壊して、それがあなたのせいだというメッセージを残したら、どうなるでしょうか?
"お前を犯している""お前の人生を壊している"
夫婦はまだ知らなかったが、貴重なInstagramのユーザー名を盗んでビットコインで売るために電話番号をハイジャックするハッカーの最新の犠牲者になっていたのである。2017年の夏の終わりの夜、Ostlunds夫妻は、ハンドルネームが@RainbowであるレイチェルのInstagramを乗っ取ったこのハッカーの2人組と話をしていたのです。彼らは今、レイチェルとアダムに彼女のTwitterアカウント@Rainbowをあきらめるよう求めていた。
ソーシャルメディアやゲームのハンドルネームの盗用が盛んなアンダーグラウンド市場では、短くてユニークなユーザーネームが500ドルから5000ドルで取引されていると、取引関係者や人気マーケットプレイスの出品者が証言しています。この市場に関わる複数のハッカーは、例えばInstagramのアカウント「@t」が最近、約4万ドル相当のBitcoinで売れたと主張している。
あなたのスマホやインスタグラムはハッキングされましたか?あなたのストーリーを教えてください。この記者に安全に連絡するには、シグナル(+1 917 257 1382)、OTRチャット(lorenzofb@jabber.ccc.de)、またはメール(lorenzo@motherboard.tv)でご連絡ください。
レイチェルの電話番号を乗っ取ることで、ハッカーはレイチェルのInstagramだけでなく、Amazon、Ebay、Paypal、Netflix、Huluのアカウントも押収することができたのです。レイチェルがこれらのアカウントを保護するためにとった二要素認証などのセキュリティ対策は、ハッカーが彼女の電話番号を掌握した後は意味をなさなかったのです。
「とても緊張した夜だった」とアダムは回想する。「私たちに電話をかけてくるなんて。」
見過ごされた脅威
2月、T-Mobileは「業界全体」の脅威について顧客に警告する大量のテキストを送信した。同社によると、犯罪者は「ポートアウト詐欺」と呼ばれる手口を利用して、人々の電話番号を狙って盗み出すケースが増えているという。この詐欺は、SIMスワッピングやSIMハイジャックとも呼ばれ、単純だが、とてつもなく効果的である。
まず、ターゲットのふりをして携帯電話会社の技術サポート番号に電話をかけます。その際、SIMカードを紛失したことを説明し、電話番号をハッカー自身が既に所有している新しいSIMカードに移行(ポーティング)するよう要求します。そして、ソーシャル・エンジニアリングの手法で、被害者の社会保障番号や住所(過去数年間に起きた多くのデータ流出事件から入手できることが多い)を提供し、犯罪者は従業員に自分たちが本当に本人であることを信じさせ、従業員は電話番号を新しいSIMカードに移行させます。
ゲームオーバー。
SIMスワップを行っているハッカーによると 「誰かの電話番号があれば その人が持っている全てのアカウントに 数分でアクセスできてしまい 彼らはそれに対して何もできない」 と言っていました。
一度に1つの番号のSIMカードしか携帯電話ネットワークに接続できないため、被害者はそこからサービスを失います。ハッカーは被害者のアカウントをリセットすることができ、電話番号を回復方法として使用することで、2ファクタ認証などのセキュリティ対策を回避できることが多いのです。
Instagramを含む一部のサービスでは、2ファクタを設定する際に電話番号の提供をユーザーに求めていますが、この規定はハッカーにアカウントに侵入する別の方法を与えるという意図せぬ効果をもたらしています。ハッカーがターゲットの電話番号を乗っ取れば、2ファクタを回避して、アカウントのパスワードさえ知らずにInstagramのアカウントを奪取することができるからです。(ハッカーから電話番号とそれにリンクしたアカウントを守る方法については、私たちのガイドをお読みください)。
以前はCosmoTheGodとして知られていたハッカー、Eric Taylorは、2012年にCloudFlareのCEOのメールアカウントをハッキングした時など、最も有名な悪用のいくつかにこのテクニックを使っています。現在、セキュリティ企業のPath Networkで働くTaylorは、オンラインアカウントに電話番号がリンクされていると、「基本的に13歳から16歳の子供たちが、クソプロバイダに電話して5分以内に電話を乗っ取るだけでアカウントを乗っ取られる可能性がある」と教えてくれた。
"よくあることだ "と付け加えた。
情報をお持ちの方 この記者に安全に連絡するには、シグナル(+1 917 257 1382)、OTRチャット(lorenzo@jabber.ccc.de)、または電子メール(lorenzo@motherboard.tv)をご利用ください。
セルサス・アドバイザリー・グループのインテリジェンス・リサーチ担当ディレクターであるロエル・シュウェンバーグは、SIMスワップ、2要素認証のバイパス、アカウント回復メカニズムの悪用といった問題について調査を行っている。彼の意見では、完全に安全な電話番号はなく、消費者はそのことを認識する必要があります。
「どのような電話番号でも移植可能です。「このような場合、犯罪者は少なくとも一時的にでも電話番号にアクセスすることができ、強盗を成功させるのに十分であることが多いのです」。
携帯電話番号は、昨年のブログ記事で彼が主張したように、私たちのオンライン・アイデンティティ全体に対する「マスターキー」になっているので、これは厄介なことです。
「ほとんどのシステムは、攻撃者が電話番号を乗っ取ることに対処できるようには設計されていません。これは非常に、非常に悪いことだ」とシュウェンバーグは書いている。「私たちの電話番号は、ほとんど取り返しのつかない信用情報になってしまった。社会保障番号がクレデンシャルとして意図されていないのと同じように、電話番号も意図されていない。電話番号は、今日、ほとんどのサービスやアカウントで、王国への鍵を提供しているのです。」
ハッカーがあなたの電話番号を支配した後に何をするかは、彼らが何を狙っているかによります。
「私は彼らのお金を受け取って自分の人生を生きている。」
もしあなたの自転車が盗まれたら、誰かが闇市場で売っていないか、Craigslistをチェックすべきです。もし、あなたのInstagramのアカウントがSIMスワップで盗まれたら、OGUSERSをチェックすべきです。
一見すると、OGUSERSは他のフォーラムと同じように見えます。スパム/ジョーク」セクションがあり、音楽、エンターテインメント、アニメ、ゲームなどのトピックでチャットするためのセクションもあります。しかし、最大かつ最も活発なセクションは、ユーザーがソーシャルメディアやゲームのハンドルを売買するマーケットプレイスで、時には数千ドルで売買されています。
フォーラムの管理者の一人によると、最近の投稿で、誰かがInstagramのアカウント@Bitcoinを2万ドルで売った。6月13日の時点でまだオンライン上にあった出品では、あるユーザーがInstagramの@eternityを1,000ドルで売却することを宣伝していた。
これらは、OGUSERSで売りに出されているアカウントの種類のほんの2つの例に過ぎない。このフォーラムは、「OG」ユーザーネームを売買する場を提供するために2017年4月に開設された。(フォーラムの名前は、「オリジナル・ギャングスター」を略したスラング用語「OG」に由来している)。ソーシャルメディアにおけるOGとは、おそらく@Sex、@Eternity、@Rainbowのようなユニークな言葉であるため、クールだとみなされるユーザー名のことだ。あるいは、@tや@tyのような非常に短いハンドルネームであること。有名人もターゲットにされています。
例えば、昨年8月には、ハッカーがセレーナ・ゴメスのInstagramアカウントを乗っ取り、ジャスティン・ビーバーのヌード写真を投稿しています。ゴメスのアカウント名のファーストネームも「Islah」に変更されており、これは当時OGUSERSでIslahというユーザー名で活動していた人物が使っていたものと同一である。OGUSERSのハッカーによると、ゴメスのハッキングの背後にいると主張する人々は、押収されたときに1億2500万人のフォロワーがいた歌手・女優のInstagramアカウントに関連する携帯電話番号を乗っ取ることで行ったと述べている。
"Damn they legit hacked the most followed person on Instagram," OGUSERSのメンバーは、"RIP SELENA GOMEZ "と題したスレッドでコメントした。
ゴメスの広報担当者は、メールでのコメントを拒否した。
今年6月現在、OGUSERSの登録者数は5万5千人以上、投稿数は320万件に達しています。毎日約1,000人のアクティブユーザーがログインしています。
同サイトのユーザーは、SIMスワッピングについて議論することはできません。誰かが人気上昇中のこの手口に言及すると、他のユーザーが "私はいかなる違法行為も容認していない "という趣旨のメッセージを投稿することが多い。しかし、Ace(フォーラムのモデレーターの一人とされている)とThugと名乗る二人の古くからのメンバーは、SIMスワッピングはOGUSERSメンバーがユーザー名を盗むためによく使う方法だと教えてくれた。
SIMスワッピングでユーザー名を盗むには、まずそのユーザー名に紐づく番号を知らなければなりません。
このような情報をネット上で見つけることは、思ったほど難しいことではありません。
昨年、ハッカーたちはDoxagramというサービスを立ち上げ、お金を払えば、あるInstagramアカウントの背後にある電話番号と電子メールを知ることができるようになりました。(そして、一連の有名なハッキングのおかげで、社会保障番号は長い間、インターネットの地下でどこを見るか知っていれば、比較的簡単に見つけることができた。)
エースは、もうユーザー名を売る商売はしていないと主張した。Thugは、T-Mobileの内部ツールを使って加入者のデータを調べることで、SIMスワップを行なっていると述べた。チャット中に、ハッカーは彼らがツールを閲覧しているスクリーンショットを見せてくれました。
私はThugにテストとして私の電話番号を教え、ハッカーは私の自宅の住所、IMSI番号(加入者を識別する標準的な固有番号)、および他の理論的に秘密のアカウント情報を含むスクリーンショットを送り返した。Thugは、私がT-Mobileに与えたアカウント保護のための特別な指示まで見ていた。
"私は被害妄想です "と私は言った。
「確かに、ネット社会は狂っている」と、チンピラは答えた。
実は、T-Mobileで保護されているはずの私の個人情報に、見知らぬ人がアクセスしたのはこれが初めてではなかった。
昨年、あるセキュリティ研究者がT-Mobileのサイトのバグを悪用して、ほとんど同じ情報にアクセスすることに成功しました。パッチを当てた後、T-Mobileは当初、誰もこのバグを悪用した者はいないと、バグの影響を否定していました。しかし、実際には多くの人が利用していたのです。YouTubeには、このバグを利用して個人情報にアクセスする方法を正確に説明したチュートリアルが、同社が穴を塞ぐ数週間前からアップされていたのだ。
Thugによれば、ここ数年、通信事業者は彼らのようなハッカーにとって厳しい状況に置かれているという。
「以前は、電話会社(たとえばT-Mobile)に電話して、その番号のSIMカードを変えてくれと言うくらい簡単だった」と、Thugは最近のオンラインチャットで私に語った。「今、あなたはそこに働く人々を知っている必要があり、彼らは文字通り100ドルでPINを与えるだろう.」
ThugとAceは、多くのハッカーが今、T-Mobileや他のキャリアで働いているカスタマーサポートや店舗の従業員を募集し、ターゲットにSIMスワップを実行するために彼らに80ドルまたは100ドルを賄賂を贈ると説明しました。Thugは、内部の人間を買収することでT-Mobileのツールにアクセスできたと主張しているが、Motherboardはこの主張を確認することができなかった。T-Mobileは、インサイダーがSIMスワップ詐欺に関与しているという証拠があるかどうかについての質問には回答を避けた。
「インサイダーがあれば、仕事はもっと早く、簡単になる」とThugは言う。
エースは、「インサイダーを見つけるのは難しいことではない」と付け加えた。「難しいのは、彼らを説得することなんだ」。
セキュリティ企業のフラッシュポイントが最近行った調査で、犯罪者が通信事業者の内部関係者の協力を得てSIMスワップを行うケースが増えていることが判明しました。元FTCのチーフ・テクノロジストであるロリー・クラナーは、内部関係者がこうした攻撃に関与している証拠を何度も目にしてきたという。セキュリティ研究者でSIMスワップのパイオニアであるテイラー氏は、店員から助けを得ている人たちを知っているという。セキュリティ記者のBrian Krebsは最近、T-Mobileの店員がInstagramのアカウントを盗むために不正なSIMスワップを行ったケースを記事にしている。
もちろん、OGUSERSでアカウントを支配する方法はSIMスワップだけではありません。SIMスワップほど効果的ではありませんが、「ターボ化」と呼ばれるより悪質な乗っ取りは、利用可能になったユーザー名を自動的に主張しようとするプログラムを使用するとThugは私に言いました。
しかし、電話番号を盗むのがより効果的な方法であるならば、かなりのスキルが必要なのは言うまでもないことです。AceとThugは、OGUSERSのメンバーのうち、それができるソーシャルエンジニアリングと技術ツールを持つのは50人程度だと推定しています。
YouTubeに投稿された動画では、フォーラムメンバーのユーザー名を胸に書いたOGUSERSメンバーとされる人物が、"I love OGU "と叫んでいるのが確認できます。
彼らと話しているときに、ThugとAceに、人のオンラインアカウントや暗号通貨のウォレット、銀行をハッキングすることについて、反省しているかと尋ねてみた。
"まったく、悲しいかな "とエースは言った。"私は彼らのお金をもらって、自分の人生を生きています。安全でないのは彼らのせいだ"
彼らのような犯罪的ハッカーが行うことは基本的に無害であると、特にユーザー名について、Thugは付け加えた。
「特にユーザーネームはそうだ。特別なことではない」とThugは言った。"お金を失うわけでもなく、ただの間抜けなユーザー名だ "と。
問題拡大
Instagramのユーザー名を売っているかどうかにかかわらず、SIMスワップ業者は大金を稼ぐことができます。
SIMスワッピングの犯罪ビジネスを研究しているRecorded Futureのセキュリティ研究者、アンドレイ・バリセビッチは、「このスキーム全体が超儲かる」と教えてくれた。「あなたがSIMカードを交換する方法を知っていれば、それは多くのお金を稼ぐための会場です」
バーチャルリアリティ企業IRL VRの創業者であるCody Brown氏は、昨年、ハッカーに携帯電話番号を乗っ取られ、それを使ってメールとCoinbaseのアカウントに侵入され、わずか15分で8000ドル以上のビットコインを失いました。ブラウン氏がハッキングされた当時、最も人気のあるオンライン暗号通貨取引所のいくつかで二要素認証を提供するアプリ、Authyは、SIMスワッピングについてユーザーに警告し、ハッカーを阻止するために追加のセキュリティ機能を搭載するほど、こうした攻撃が横行していた。
また、昨年、T-モバイルのウェブサイトにハッカーが顧客の個人情報を入手できるバグがあることをマザーボードが明らかにした後、暗号化チャットアプリ「シグナル」で私が受け取ったメッセージについても考えてみましょう。
「[T-Mobile]APIの悪用をリークするなんて、このチンポをムシャムシャ食べるホモ野郎と言いたいだけだ」と、NoNosというニックネームで呼ばれるその人物は書いています。"それはあなたが見るためにすべての世界のためにそれについての記事を書いて、それについて彼らに言ってTMOに連絡しなかった場合、パッチが適用されません。"
その人はさらに、このバグを使って何人もの人をハックし、SIMスワップをしていると主張した。彼らはまた、その後、彼らが奪うことができる裕福な人々をターゲットにするために、この技術を使用したと述べた。
「私は他の方法で前に一日で300k [ sic ]を作った," NoNosは言った, しかし、マザーボードは、この数を確認することができませんでした.
"これを行う能力を持つ "人々は、国の誰でも番号をSIMスワップすることができる場合は、あなたはたくさんのお金を持っている人々をターゲットにするときに、ユーザー名とランダムな人々をターゲットになぜするのでしょうか?「投資家とか株式トレーダーとか。ヘッジファンドのマネージャーなどだ」とNoNosは続けた。
セレーナ・ゴメス以外にも、ブラック・ライブズ・マターの活動家デレー・マッケソン、カーネギーメロン大学のサイバーセキュリティ・プライバシー研究所CyLabの創設者デーナ・ハリトス・ツァミティス、YouTubeスターのブギー2988などがSIMスワップの被害者として有名である。
この数ヶ月の間に、30人以上のSIMスワップ被害者が私に連絡を取り、オンラインとオフラインの生活をその後狂わされたという恐ろしい話を聞かせてくれました。アメリカでは、少なくとも数百人がこのような被害に遭っていると言ってよいでしょう。しかし、このようなハッキングを受けた人の数を正確に把握することは困難です。携帯電話会社だけがこの問題の程度を把握しており、これらの通信会社は、当然のことながら、この問題について語ろうとはしていない。
現在はカーネギーメロン大学の教授であるクラナーは、2016年に連邦取引委員会のチーフ・テクノロジストを務めていたときに、このハッキングがどれほど普及しているかを調べようとしたという(クラナー自身も同年、SIMスワッピングの被害者になった。当時はSIMスワッピングという言葉すら知らなかったとクラナーは話している。)しかし、FTCでの彼女の役割に伴う権力と影響力にもかかわらず、Cranorが数字を要求したとき、どの携帯電話事業者も、こうした攻撃がどれほど一般的であるかというデータを共有しなかった。
携帯電話会社は、明らかに十分なことをしていない。「キャリアは、自分たちがやっていることを増やしている、私に起きたことは今日起こらなかったかもしれないと言っているが、私は納得していない。私は納得がいきません。この問題を重要な認証の問題として扱う必要があります」。
キャリアはSIMスワップについてよく知っている、と彼女は付け加えた。"彼らはそれを認めることを好まないが"。
マザーボードは、AT&T、ベライゾン、スプリント、T-モバイル(米国の4大携帯電話会社)に、SIMスワッピングの普及に関するデータを要求しました。いずれも、そのような情報の提供には応じなかった。
AT&Tの広報担当者は、この種の詐欺は「ごく少数の顧客に影響するもので、当社にとっては珍しいことだ」と述べたが、「ごく少数」の意味を明らかにするよう求められても回答しなかった。
T-Mobileの広報担当者は、「SIMスワップ/ポートアウト詐欺は、以前から業界の問題だった」と声明で述べている。同社は、ポートアウト番号にPINやパスコードを要求するなど、セキュリティを強化するよう顧客に求め、顧客アカウントの変更を確認する新しい方法を評価することによって、これらの攻撃と戦っていると付け加えた。この担当者は、T-Mobileの幹部との電話インタビューを手配するという私の依頼を断り、何人が被害に遭ったかを含め、これらの攻撃がどれほど普及し、広まっているかという質問にも答えなかった。
「なぜそれが関係あるのか、よく理解できない」と広報担当者は述べた。「7,200万人の顧客がいることを考えれば、少ない数字だろう。しかし、明らかにどの企業も一人の顧客にもこのようなことが起こるのを見たくはないでしょう。(昨年10月、T-Mobileはハッカーに狙われた「数百人の顧客」に警告を発した。)
スプリントは、SIMスワップ事件に関する数字やデータの提供を拒否し、代わりに顧客が定期的にパスワードを変更することを示唆する声明を出した。ベライゾンの広報担当者も、SIMハイジャックの普及に関するデータは提供しなかったが、SIMスワップを行うには「正しいアカウントとパスワード/PINの一致」が必要だと述べている。
今年初め、この4大キャリアは、携帯電話の認証情報を使ってウェブサイトやアプリを認証できるようにするための新しいソリューションを共同で開発する「モバイル認証タスクフォース」を発表しました。技術系メディアはこれを、破綻していると広く考えられているSMSベースの2要素認証に代わる可能性のあるソリューションとして宣伝した。しかし、この新しいソリューションが実際にどのように実装されるかの詳細は不明であり、SIMスワッピングの緩和につながるかどうかもまだ不明である。
FTCの広報担当者は、同庁が2017年に発行した「Consumer Sentinel Data Book」という、詐欺、詐欺、個人情報盗難などに関する消費者の報告をまとめた資料を指摘したが、SIMスワップに関する具体的な項目はなかった。広報担当者は、このような項目は、携帯電話詐欺の3万件以上の報告を記録している電話・光熱費詐欺に「該当するかもしれない」と述べた。
全米規模の詐欺やこの種の犯罪を調査する機関である連邦捜査局の広報担当者は、同局にはこの種のハッキングに関するデータはないと述べている。
たとえ数が少なくても、このようなハッキングは損害を与え、傷つける可能性があります。少なくとも、ハッキングから回復するためには、相当な時間と労力を必要とする。SIMスワップの被害者であるFanis Poulinakisは、今年の初めにSIMスワップされたことを私に話してくれました。
ある日突然、携帯電話が使えなくなったPoulinakis氏は、すぐにオンラインバンクの口座にログインしたそうです。"ほらね!"と彼は言いました。「2,000ドルが消えていたんです」。Poulinakisは、T-MobileとChase Bankの間で一日中、何が起こったかを解明しようとした。
"なんという悪夢だ"
被害者から捜査員へ
2017年9月6日の夜、レイチェルとアダム・オストルンドの身に降りかかった。
アダムはハッカーたちをできる限り電話につなぎとめようとしたが、そのほとんどは、何が起きたのか、犯人がすべてアクセスしたのかを把握するためで、犯人は焦り始め、夫婦にレイチェルのTwitterアカウント@Rainbowをあきらめるよう要求してきた。同じユーザー名でTwitterとInstagramの両方のアカウントを制御することは、ハッカーが売却の際に、より多くのお金をかき集める機会を与えていただろう。他のハッカーが私に説明してくれたように、アカウントにリンクしているオリジナルの電子メール(「OGE」)を持っていると、オリジナルのアカウント所有者がハッカーからアカウントを取り戻すのが難しくなるため、より価値が高くなるのです。
疲れたアダムは電話を切った。ハッカーたちはすぐに彼にメールを送りました。
アダムがMotherboardと共有したチャットログによると、彼らのうちの一人は、"Can we just make this quick I need to sleep(早く終わらせてくれ 眠たいんだ) "と書いていた。「Twitterのメールを今すぐ変更しろ。嫌な奴になるわけじゃないが、すぐに反応しないと、何をやっても悪いことが起きるぞ 」と。
その後、ハッカーは再び電話をかけてきた。今回は、より穏やかで、より脅迫的でない人物が話をしました。
電話の録音によると、2番目のハッカーはアダムに、最初の人の口調を謝りながら、「個人的なことではない」と言ったそうです。"何も起こらないと断言できる"
レイチェルが警察に通報した後、この2回目の通報で地元の警察がオストルンド家に現れたのだ。夫妻が事情を説明すると、警察官は混乱した様子で、本当に助けられないと言った。夫婦は、ハッキングから立ち直るために一晩を過ごした。T-Mobileから電話番号を取り戻すと、それを使ってハッカーがやったようにすべてのパスワードをリセットし、押収したアカウントを復旧させた。ただし、@RainbowのInstagramは、ハッカーが完全にコントロールしていた。
3日後、レイチェルとアダムは、自分たちの手で問題を解決することにしました。自分たちでハッカーを追い詰めようというのです。
レイチェルは、自分のインスタグラムのアカウントが実質的にリセットされ、フォロワーが1人になっていることに気づいたという。そのフォロワーは@Golfで、そのバイオはAustinという人物であることを示唆していました。そのアカウントに、コロラドスプリングスでのコンサートで撮られたと思われる写真を見つけたとOstlunds夫妻は話してくれました, と@ゴルフのフォロワーを調べることによって、カップルは、ハッカーのTwitterとFacebookのアカウントを追跡することができたこと. その結果、ハッカーの正体と思われるものを突き止めたという。
Motherboardは、このハッカーの身元を確認することができませんでした。
調査中、レイチェルとアダムはOGUSERSで、Darkuというニックネームのハッカーが@Golfやその他のユニークなInstagramのユーザーネームを売っている投稿も見つけました。夫妻にとって、これはDarkuが@Golfを、ひいては@Rainbowを支配していることの告げ口でした。
オンラインチャットでDarkuは18歳で、いくつかのハッキンググループに所属していると話してくれました。彼は、SIMスワップや@Rainbowと@Handを盗んだハッカーであることを否定し、後者は友人から交換したものであり、@Rainbowは所有していないと主張した。
「私は軽犯罪には手を染めない」とDarkuは語った。"私はどこにでもコネがあり、欲しいものを手に入れるために詐欺を働く必要はない "と。
5月に私がOGUSERSで彼に連絡を取った後、DarkuはFBIがフォーラムを調査しているかもしれないとメンバーに警告する投稿をした。Darkuによると、私の質問が怪しかったので、私が本当に本人かどうか確信が持てなかったそうです。
「私の友人は、最近、いくつかのユーザー名とその取得方法、個人的な経験についてFBIと衝突した」とDarkuは書いています。"あなたが任意の主要なニュースアウトレットからだと主張する誰かによって接触されている場合は、注意して進んでください".
一部のユーザーは、なぜ局がユーザーネームのマーケットプレイスにまで興味を持つのかと、困惑しているようだった。
「ユーザーネームが問題なのではない」と反論するユーザーもいた。「ユーザーネームがどうのこうのではなく、そのユーザーネームを手に入れるために使われた方法が問題なのだ。彼らは、ユーザーネームを販売することの裏側にある暗い状況を知っているはずだ" と反論している。
しかし、他のOGUSERSフォーラムのメンバーは、逮捕されることを冗談で言ったり、ミームを投稿したりと、もっと軽く考えているようでした。このフォーラムの私のアカウントは、アクセスに使っていたIPアドレスと同様に禁止されました。
アダムが私に教えてくれたメールによると、ダークウェブやサイバー犯罪の捜査を専門とするソルトレイクシティのFBI捜査官に、ダークーで発見した情報を伝えたそうです。アダムはまた、コロラドスプリングスのFBIから、彼の報告は「正確」であり、捜査は進展していると通告されたと話してくれました。
レイチェルは、FBIが最近、捜査官がオースティンの家を訪れ、"彼を怖がらせた "とされることを彼女とアダムに知らせたと付け加えた。このハッカーは「二度とこんなことはしない」とレイチェルは言っています。
最近のOGUSERSフォーラムの別のスレッドで、DarkuはFBIが@Rainbowの所有者である 「女性を恐喝した人物」を調べている事実を知っていると書いた. Darkuは、警察が話を聞きに来たが、"私には何の関係もない "と言った。
"私は他人に嫌がらせをして時間を浪費することはない "とDarkuは当局に言ったという。
マザーボードは、この件へのFBIの関与を確認することができませんでした。同局は通常、進行中の捜査についてコメントすることはない。FBIソルトレークシティ支局の広報担当者はコメントを控えた。FBIのコロラドスプリングス支局には連絡がつかなかった。
今日に至るまで、Instagramはまだ@RainbowのアカウントをRachelに返していない。Instagramのアカウント@Handや@Joeyのオーナーなど、他の被害者も皆、Instagramに何度も苦情を言ったにもかかわらず、アカウントを取り戻せていないと話している。
"我々は安全かつセキュアな経験を持つInstagramのコミュニティを提供するために懸命に働く," Instagramの広報担当者は声明で述べている. "我々は侵害されているアカウントを認識したとき、我々はアカウントへのアクセスを遮断し、彼らが彼らのパスワードをリセットし、自分のアカウントを保護するために他の必要な措置を取ることができるように影響を受けてきた人々は、是正プロセスを介して配置されています。"
トラウマを抱えた被害者にとっては、苦労して学んだ貴重な教訓です。
「携帯電話は最大の弱点です」とレイチェルは私に言った。
アダムは、このハッキング事件から、携帯電話番号が私たちのデジタルライフにおける最も弱いリンクであることを学んだと言います。
"誰かがあなたの電話番号を所有している場合、" "彼らはあなたの人生を所有している "と彼は言った。
ニュースレターに登録すると、毎日6本のマザーボードストーリーが配信されます。
