Twitter il mese scorso ha inviato un avviso del Digital Millennium Copyright Act a GitHub, un servizio Web progettato per ospitare il codice sorgente caricato dall’utente, chiedendo che alcuni contenuti vengano rimossi perché presumibilmente “[p]codice sorgente proprietario per la piattaforma e gli strumenti interni di Twitter. Twitter ha successivamente presentato una dichiarazione al tribunale federale a sostegno della sua richiesta di citazione DMCA, il cui scopo apparente era “identificare il presunto trasgressore o i trasgressori che hanno pubblicato il codice sorgente di Twitter sui sistemi gestiti da GitHub senza l’autorizzazione di Twitter”.
Tuttavia, Twitter sembra aver rivisto il suo avviso DMCA, essenzialmente un reclamo per violazione del copyright, lo stesso giorno in cui è stato presentato per richiedere non solo informazioni sull’autore del caricamento, ma anche “qualsiasi cronologia di caricamento / download / accesso correlata (e qualsiasi informazione di contatto, indirizzi IP o altre informazioni di sessione relative agli stessi) e tutti i log associati relativi a questo repository o a eventuali fork dello stesso. In altre parole, Twitter sta ora cercando informazioni non solo sul presunto leaker, ma anche su chiunque abbia interagito con il particolare repository GitHub, lo spazio online di archiviazione del codice sorgente, in qualsiasi modo, anche semplicemente accedendovi. Cercare di forzare GitHub a rivelare informazioni sui visitatori di un particolare repository che ospita tramite una richiesta di citazione in giudizio è una mossa che ricorda il tentativo del Dipartimento di Giustizia di costringere una società di web hosting a rivelare informazioni sui visitatori di un sito Web anti-Trump .
DMCA: lo strumento preferito per il doxxing e la censura
Questa non è la prima volta che le aziende tentano di utilizzare le citazioni DMCA per identificare i leaker. Un affiliato dei Marvel Studios ha recentemente presentato una petizione per le citazioni in giudizio del DMCA per costringere Reddit e Google a rivelare informazioni su qualcuno che ha caricato la sceneggiatura di un film su Google e l’ha pubblicata su Reddit prima che il film fosse rilasciato. Le affermazioni DMCA hanno anche una sordida storia di utilizzo nei tentativi di doxxing. È possibile presentare false dichiarazioni DMCA per indurre un utente mirato a presentare una domanda riconvenzionale, che richiede che inseriscano il proprio nome e indirizzo, che a sua volta viene trasmesso al filer originale. Altre volte, il DMCA viene utilizzato semplicemente per censurare i contenuti, per mettere la museruola ai membri della società civile o per la gestione della reputazione.
Nessun mandato di comparizione richiesto?
GitHub è sembrato fin troppo disposto a fornire informazioni sia sui proprietari del repository che sui visitatori, anche senza un mandato di comparizione. Quando il proprietario di un altro repository non correlato ha recentemente chiesto a GitHub di fornire i log di accesso degli utenti che lo avevano visitato, GitHub appare di aver prontamente rispettato, oscurando solo l’ultimo ottetto dell’indirizzo IP del visitatore, con la parte non modificata che potrebbe ancora rivelare informazioni come il provider di servizi Internet di un utente e la posizione approssimativa.
Esistono anche numerosi modi pubblici per estrarre le informazioni dell’utente da GitHub, come gli indirizzi e-mail associati a un particolare account GitHub. Ironia della sorte, alcuni script ospitati su GitHub sono progettati per automatizzare l’esfiltrazione dell’indirizzo e-mail di un utente GitHub. Una volta appreso un indirizzo e-mail, il processo di richiesta di un mandato di comparizione per ulteriori informazioni su un particolare utente può essere ripetuto nel tentativo di ottenere dati ancora più sensibili.
La borsa dei trucchi di Musk
Oltre a dichiarare di utilizzare metodi di filigrana per catturare i leaker, le altre società di Musk hanno anche richiesto citazioni in giudizio per costringere i fornitori di servizi a rivelare informazioni sui leaker. Ad esempio, quando Musk si è concentrato su (e successivamente ha molestato) un sospetto leaker che ha fornito documenti interni a un giornalista su grandi quantità di rifiuti generati nella “Gigafactory” di Tesla, Tesla ha citato in giudizio Apple, AT&T, Dropbox, Facebook, Google, Microsoft, Open Whisper Systems (l’organizzazione precedentemente dietro l’app di messaggistica sicura Signal) e WhatsApp. I mandati di comparizione proposti “comandavano” ai loro obiettivi di conservare qualsiasi informazione sugli account del sospetto leaker, così come tutti i documenti che il sospetto leaker “ha cancellato dagli account precedenti ma che sono ancora accessibili da te”.
Oltre alle proposte di citazioni in giudizio, secondo quanto riferito Tesla ha cercato di identificare i leaker esaminando i filmati di sorveglianza per vedere chi aveva scattato le foto (la storia originale di Business Insider che ha spinto l’indagine su Tesla menzionava che la fonte aveva fornito immagini per corroborare le loro affermazioni di rifiuti al fabbrica). La società ha anche controllato i registri di accesso ai file per vedere chi ha avuto accesso ai dati forniti al notiziario.
Dopo l’identificazione del sospetto leaker, Tesla avrebbe intrapreso un’ampia campagna di sorveglianza, incluso l’hacking del telefono del sospettato; chiedendo al sospettato di consegnare il proprio laptop per un “aggiornamento” che era, in effetti, un controllo forense; dispiegare una guardia di sicurezza in borghese per monitorare il sospetto sul pavimento della fabbrica; e l’assunzione di investigatori privati per condurre ulteriore sorveglianza.
Da asporto per i leaker
Dato l’approccio permissivo alla divulgazione delle informazioni degli utenti da parte dei fornitori di servizi, unito alle tattiche aggressive impiegate dalle aziende per rivelare le fonti, la conclusione per gli aspiranti leaker è chiara: non fidarti dei fornitori di servizi per proteggere le informazioni che potrebbero avere su di te. I siti Web possono rivelare informazioni sul leaker, intenzionalmente o meno, e se legalmente obbligati o di propria iniziativa. I leaker farebbero bene a evitare di utilizzare la propria connessione Internet domestica o un’altra connessione Internet vicina e ad offuscarla ulteriormente utilizzando strumenti come Tor Browser. Inoltre, è meglio assicurarsi che qualsiasi informazione richiesta per configurare un particolare account, come un indirizzo e-mail o un numero di telefono, non sia riconducibile al leaker.
Origine: theintercept.com
