Hóa ra không chỉ FBI, đến cả các ngân hàng lớn cũng nhờ công ty Israel Cellebrite bẻ khóa điện thoại

Nhóm khách hàng lớn nhất cho các công nghệ bẻ khóa điện thoại có lẽ là các lực lượng thực thi pháp luật: cảnh sát luôn cần vượt qua lớp mật khẩu trên những thiết bị cá nhân này, để có thể trích xuất các dữ liệu như tin nhắn SMS, email và nhiều hơn nữa.

Nhưng loại công nghệ này cũng đang nằm trong tay các ngân hàng. Đây có lẽ là thông tin được những người trong giới bảo mật thông tin biết từ lâu, nhưng phần đông công chúng thì ít biết đến điều này. Các công ty tư nhân thậm chí còn có nhiều nhu cầu về giám sát thông tin hơn cả cảnh sát, khi họ cũng cần các sản phẩm bẻ khóa điện thoại để thực hiện việc điều tra riêng của mình.

“Các ngân hàng lớn thường có đội điều tra và chống gian lận riêng của mình. Ngoài ra, còn có các nhóm tư vấn độc lập bên ngoài.” Jon Rajewski, giám đốc và là nhà điều tra chính tại Trung tâm điều tra kỹ thuật số Senator Patrick Leahy Center nói với trang Motherboard.

Thiết bị bẻ khóa mật khẩu điện thoại của Cellebrite.

Một trong những công ty nổi tiếng nhất trong ngành công nghiệp giám sát điện thoại này là Cellebrite, một công ty Israel có khách hàng là những cơ quan thực thi pháp luật trên toàn thế giới. Thiết bị hàng đầu của Cellebrite, chiếc Universal Forensic Extraction Device (UFED) có thể trích xuất dữ liệu từ hàng nghìn thương hiệu và phiên bản điện thoại khác nhau.

Theo các báo cáo hỗ trợ khách hàng của Cellebrite, hàng loạt ngân hàng đã mua và sử dụng những chiếc UFED này. Các báo cáo này đã được trang Motherboard tìm thấy từ trong khối dữ liệu đệm 900 GB do một hacker gửi trang web này vào tuần trước.

“Gửi bộ phận Hỗ trợ, Tôi đang có một số vấn đề khi kết nối với một chiếc Samsung Galaxy S GT-I9001 được bảo mật không theo tiêu chuẩn.” Đó là một tin nhắn từ bộ phận điều tra máy tính của ngân hàng Anh Barclays Bank gửi cho công ty vào năm 2012. Theo hồ sơ trên Linkedin của nhân viên này, vào thời điểm của tin nhắn anh đang chịu trách nhiệm cho việc phục hồi, báo cáo và phân tích các bằng chứng kỹ thuật số liên quan đến việc điều tra.

Bộ nhớ đệm này còn bao gồm một tin nhắn khác từ nhà điều tra của ngân hàng TD Bank vào năm 2012, cũng như một tin nhắn từ năm 2011 của một thành viên cao cấp trong nhóm “điều tra giám sát mạng” của ngân hàng Bank of America. Tin nhắn từ ngân hàng Bank of America có liên quan đến việc trích xuất mật khẩu trên các điện thoại di động.

Nhưng tại sao các ngân hàng cần các thiết bị bẻ khóa điện thoại?

“Có rất nhiều loại công ty khác nhau muốn tự tiến hành các công việc điều tra riêng của họ.” Jon Zdziarski, một nhà khoa học về giám định nói với trang Motherboard. “Ví dụ, một cáo buộc quấy rối tình dục diễn ra bằng cách sử dụng thiết bị của nhân viên. Đó không phải là trường hợp mà có thể nhờ cậy cảnh sát giải quyết mà phải là một nhóm trong nội bộ công ty. Hay các tình huống gian lận nội bộ.”

Về phần mình, Cellebrite đòi hỏi khách hàng phải xuất trình được lệnh của tòa án hay các loại văn bản pháp lý khác để chứng minh cho mục đích sử dụng dịch vụ mở khóa iPhone của họ. Nhưng trong khi cảnh sát muốn tìm kiếm một thiết bị, họ sẽ cần một trát tòa để làm như vậy, còn khi một công ty muốn tự tiến hành một cuộc điều tra của riêng mình, liệu điều gì sẽ đảm bảo việc lạm dụng sẽ không diễn ra?

“Đạo đức luôn là một điều quan trọng.” Rajewski cho biết. “Phạm vi tìm kiếm chính là chìa khóa trong tình huống này. Vì vậy, với các cơ quan thực thi luật pháp, họ được cho phép để tìm kiếm vì mục đích X, Y và Z nào đó. Còn với các công ty tư nhân, việc đó sẽ căn cứ một số yếu tố như: ai là người sở hữu thiết bị? Chính sách chấp nhận sử dụng như thế nào và thiết bị đó đang ở nước nào?”

Zdziarski cũng bổ sung thêm. “Về mặt pháp lý, những cuộc điều tra trong nội bộ công ty không thể tìm kiếm những thiết bị sở hữu bởi cá nhân nếu không có sự đồng ý.”

Theo hồ sơ trên trang Linkedin của nhân viên điều tra giám định máy tính của ngân hàng Barclays Bank, anh này phải đảm bảo rằng tất cả nhân viên đều tuân theo các tiêu chuẩn và yêu cầu phù hợp trong quá trình điều tra. Tuy nhiên, vẫn chưa rõ các tiêu chuẩn đó là gì.

Cả ba ngân hàng Barclays Bank, TD Bank và Bank of America từ chối bình luận về thông tin đăng tải trên trang web Motherboard.

Tham khảo Motherboard