Твиттер в прошлом месяце отправил уведомление о Законе об авторском праве в цифровую эпоху в GitHub — веб-службу, предназначенную для размещения исходного кода, загруженного пользователями, — с требованием удалить определенный контент, поскольку он якобы «[p]собственный исходный код платформы Twitter и внутренних инструментов». Впоследствии Twitter подал заявление в федеральный суд в поддержку своего запроса о повестке в суд по Закону о защите авторских прав в цифровую эпоху, якобы целью которой было «установить предполагаемого нарушителя или нарушителей, которые разместили исходный код Twitter в системах, управляемых GitHub, без разрешения Twitter».
Тем не менее, Twitter, по-видимому, пересмотрел свое уведомление DMCA, по сути, заявление о нарушении авторских прав, в тот же день, когда оно было подано с запросом не только информации о загрузчике, но также «любой связанной истории загрузки/загрузки/доступа (и любой контактной информации, IP-адреса или другая информация о сеансе, связанная с ним), и любые связанные журналы, связанные с этим репозиторием или любыми его ответвлениями». Другими словами, Twitter теперь ищет информацию не только о предполагаемом утечке, но и о любом, кто каким-либо образом взаимодействовал с конкретным репозиторием GitHub, онлайн-пространством для хранения исходного кода, в том числе просто заходя на него. Попытка силой заставить GitHub раскрыть информацию о посетителях определенного репозитория, который он размещает, посредством запроса повестки в суд — это шаг, напоминающий попытку Министерства юстиции заставить веб-хостинговую компанию раскрыть информацию о посетителях антитрамповского веб-сайта. .
DMCA: инструмент Doxxing и цензуры выбора
Это не первый случай, когда корпорации пытаются использовать повестки DMCA для выявления утечек. Филиал Marvel Studios недавно подал прошение о повестке в суд DMCA, чтобы заставить Reddit и Google раскрыть информацию о ком-то, кто загрузил сценарий фильма в Google и разместил об этом на Reddit до того, как фильм был выпущен. Заявления DMCA также имеют грязную историю использования в попытках доксинга. Ложные претензии DMCA могут быть поданы, чтобы соблазнить целевого пользователя, чтобы затем подать встречный иск, который требует, чтобы они указали свое имя и адрес, которые, в свою очередь, передаются первоначальному подателю. В других случаях DMCA используется просто для цензуры контента, будь то для того, чтобы заткнуть рот членам гражданского общества или для управления репутацией.
Повестка в суд не требуется?
GitHub, похоже, слишком охотно предоставляет информацию как о владельцах своего репозитория, так и о его посетителях, даже без повестки в суд. Когда владелец другого репозитория, не связанного с этим, недавно попросил GitHub предоставить журналы доступа пользователей, посетивших его, GitHub появляется с готовностью подчинился, скрывая только последний октет IP-адреса посетителя, а неотредактированная часть все еще потенциально раскрывала такую информацию, как интернет-провайдер пользователя и приблизительное местоположение.
Существует также множество общедоступных способов извлечения информации о пользователе из GitHub, например адресов электронной почты, связанных с определенной учетной записью GitHub. По иронии судьбы, некоторые скрипты, размещенные на GitHub, предназначены для автоматизации эксфильтрации адреса электронной почты пользователя GitHub. Как только адрес электронной почты известен, процесс запроса повестки в суд для получения дополнительной информации о конкретном пользователе может быть повторен в попытке получить еще более конфиденциальные данные.
Сумка хитростей Маска
Помимо заявлений об использовании методов водяных знаков для поимки утечек, другие компании Маска также требовали судебных повесток, чтобы заставить поставщиков услуг раскрыть информацию о утечках. Например, когда Маск сосредоточился на (и впоследствии преследовал) подозреваемого в утечке информации, который предоставил репортеру внутренние документы о большом количестве отходов, производимых на «Гигафабрике» Теслы, Тесла перешел к повестке в суд Apple, AT&T, Dropbox, Facebook, Google, Microsoft, Open Whisper Systems (организация, ранее стоявшая за безопасным приложением для обмена сообщениями Signal) и WhatsApp. Предложенные повестки в суд «приказали» своим целям сохранить любую информацию об учетных записях подозреваемого лица, а также все документы, которые подозреваемый человек «удалил из вышеупомянутых учетных записей, но которые все еще доступны вам».
В дополнение к предложенным повесткам в суд, Tesla, как сообщается, пыталась идентифицировать утечек, просматривая кадры видеонаблюдения, чтобы увидеть, кто делал фотографии (исходная история Business Insider, которая побудила расследование Tesla, упоминала, что источник предоставил изображения, чтобы подтвердить их заявления об отходах в фабрика). Компания также проверила журналы доступа к файлам, чтобы узнать, кто имел доступ к данным, предоставленным новостному агентству.
Сообщается, что после выявления подозреваемого в утечке информации Tesla провела обширную кампанию наблюдения, включая взлом телефона подозреваемого; требование, чтобы подозреваемый отдал свой ноутбук для «обновления», которое на самом деле было судебно-медицинской экспертизой; развертывание охранника в штатском для наблюдения за подозреваемым в заводском цеху; и найм частных детективов для дальнейшего наблюдения.
Выводы для утечек
Учитывая небрежный подход к разглашению информации о пользователях поставщиками услуг в сочетании с агрессивной тактикой, используемой компаниями для раскрытия источников, вывод для потенциальных утечек ясен: не доверяйте поставщикам услуг защиту любой информации о вас, которая у них может быть. Веб-сайты могут раскрывать информацию о лицемере, преднамеренно или нет, а также по закону или по собственному желанию. Утечкам было бы лучше не использовать свое домашнее или другое близкое интернет-соединение и еще больше запутать его с помощью таких инструментов, как браузер Tor. Кроме того, лучше всего убедиться, что любая информация, необходимая для настройки конкретной учетной записи, такая как адрес электронной почты или номер телефона, не может быть отслежена до лица, предоставившего утечку информации.
источник: theintercept.com
