Sicherheitsforscher warnt vor abschreckender Wirkung, nachdem FBI-Agenten Telefon am Flughafen durchsucht haben

Ein US-Sicherheitsdienst Der Forscher warnt vor einer abschreckenden Wirkung, nachdem er bei seiner Ankunft auf einem US-Flughafen festgenommen, sein Telefon durchsucht und ihm befohlen wurde, vor einer großen Jury auszusagen, nur um später von der Staatsanwaltschaft einen Rückzieher zu machen und die Ermittlungen einzustellen.

Am Mittwoch sagte Sam Curry, ein Sicherheitsingenieur beim Blockchain-Technologieunternehmen Yuga Labs in einer Reihe von Beiträgen auf X, ehemals Twitter, dass er am 15. September nach der Rückkehr von einer Reise nach Japan von US-Bundesbeamten einer Zweitkontrolle unterzogen wurde. Curry sagte, Agenten der Kriminalpolizei (IRS-CI) des Internal Revenue Service und des Department of Homeland Security hätten ihn am Dulles International Airport in Washington D.C. zu einer „aufsehenerregenden Phishing-Kampagne“ befragt, sein entsperrtes Telefon durchsucht und ihm eine Nachricht zugestellt Vorladung der Grand Jury, um in der darauffolgenden Woche in New York auszusagen.

Einem von Curry geposteten Foto der Vorladung zufolge untersuchte die Grand Jury Überweisungsbetrug und Geldwäsche.

Aber Curry sagte, er habe später die Bestätigung erhalten, dass die Kopie seiner Gerätedaten gelöscht und die Vorladung der Grand Jury aufgehoben worden sei, als die Staatsanwaltschaft feststellte, dass Curry den Diebstahl von Kryptowährungen untersuchte und nicht daran beteiligt war.

In einem Beitrag sagte Curry, dass er im Dezember 2022 herausgefunden habe, dass Betrüger versehentlich ihren privaten Ethereum-Schlüssel im Quellcode einer Phishing-Website preisgegeben hätten, die Kryptowährungen im Wert von Millionen Dollar gestohlen hatte. Curry sagte, er habe den Schlüssel in seine eigene Krypto-Wallet importiert, um zu sehen, ob sich noch etwas in der Wallet des mutmaßlichen Betrügers befinde, aber er habe den Schlüssel „fünf Minuten zu spät gefunden und die gestohlenen Vermögenswerte waren verschwunden.“

Curry sagte, er habe „meine private IP-Adresse verwendet und offensichtlich nicht versucht, meine Identität zu verbergen, da ich die Sache lediglich untersucht habe.“

„Normalerweise verfolgen wir diesen Ansatz, bei dem es darum geht, zu prüfen, ob wir etwas tun können, um zu helfen. Und wenn wir es nicht können, können wir es natürlich nicht. Es ist schwierig, weil es so viele dieser Phishing-Kampagnen gibt“, sagte Curry gegenüber Tech in einem Telefonat.

Curry sagte, dass die Bundesbehörden die Autorisierungsprotokolle vom Krypto-Marktplatz OpenSea angefordert hätten, die Curry verwendet habe, um den Inhalt der Brieftaschen der Betrüger zu überprüfen. Zu diesen Protokollen gehörte Currys private IP-Adresse. Curry beschuldigte die Behörden, seine Ankunft in den USA „als Vorwand genutzt zu haben, um nach meinem Gerät zu fragen und mich vor eine große Jury zu laden, anstatt mir einfach eine E-Mail zu schicken oder so.“

„Ich teile dies, weil ich denke, dass es etwas ist, worüber sich die Leute im Klaren sein sollten, wenn sie ähnliche Arbeiten ausführen. Es wurde weithin geteilt, dass der private Schlüssel durchgesickert war und mein Hintergrund als Sicherheitsforscher nicht ausreichte, um mich davon abzuhalten, Einwanderungsbehörden und eine Grand Jury zu nutzen, um mich einzuschüchtern“, sagte Curry in seinem Beitrag.

Curry ist ein weithin bekannter Sicherheitsforscher, dessen Arbeit dazu beigetragen hat, Schwachstellen in zu entdecken Prämienprogramme von Fluggesellschaften, vernetzte Fahrzeugeund half dabei, Sicherheitslücken aufzudecken ApfelUnd Starbucks. Curry sagte, er würde nach Washington DC fliegen Nehmen Sie an einem Forschungsforum zur Wahlsicherheit teil von der US-amerikanischen Cybersicherheitsbehörde CISA eingerichtet, um US-Wahlmaschinen zu überprüfen.

Nachdem er vom Flughafen entlassen worden war, sprach er mit seinem Anwalt, der den Bundesermittlern mitteilte, dass Curry den Vorfall im Rahmen seiner Routinearbeit als Sicherheitsforscher untersuchte.

In einem Anruf sagte Curry gegenüber Tech, er verstehe, warum die Bundesbehörden den Vorfall untersuchten, kritisierte jedoch deren Vorgehensweise.

„Was ich anerkennen möchte, ist, wenn in irgendeinem anderen Fall jemand den privaten Schlüssel hat, jemand, der offensichtlich einen Phishing-Betrug im Wert von mehreren Millionen Dollar begangen hat, und diesen privaten Schlüssel verwendet, um sich bei OpenSea anzumelden, ja, ich halte das für ein wenig verdächtig und das ist definitiv etwas, das es zu untersuchen gilt“, sagte Curry.

„Sie hatten einen Manila-Ordner mit meinem Foto, meinem Twitter und allen meinen sozialen Medien, und ich hätte angenommen, dass sie sich ein wenig damit befasst hätten“, sagte Curry. „Selbst eine kurze Lektüre – wer ich bin und was ich tue – hätte meiner Meinung nach viel Klarheit gebracht.“

Obwohl er davon überzeugt ist, dass die rechtliche Forderung geklärt ist, sagte Curry, dass er sich „dreckig gefühlt“ habe, als die Bundesbehörden ihm sein Telefon zurückgaben, nachdem sie den Inhalt durchsucht hatten. US-Behörden können das Telefon einer Person an der Grenze ohne Durchsuchungsbefehl durchsuchen, auch bei US-Amerikanern. Das Gesetz ist jedoch weniger klar, ob eine Person dem nachkommen muss. Nur US-Bürgern kann die Einreise wegen Nichteinhaltung nicht verweigert werden, ihre Geräte können jedoch auf unbestimmte Zeit beschlagnahmt werden.

Nicholas Biase, ein Sprecher der US-Staatsanwaltschaft für den Südbezirk von New York, wo die Vorladung der Grand Jury eingereicht wurde, lehnte eine Stellungnahme ab, als sie am Mittwoch eintraf. Terry Lemons, ein Sprecher des IRS-CI, der strafrechtlichen Ermittlungsabteilung der US-Steuerbehörde, die für die Untersuchung von Kryptodiebstählen bekannt ist, antwortete nicht auf eine Bitte um Stellungnahme.

Es ist nicht ungewöhnlich, dass US-Behörden Sicherheitsforscher oder Journalisten mit der Androhung von Strafverfolgung oder anderen rechtlichen Verfahren ins Visier nehmen, um Zeugenaussagen zu erzwingen, etwa Grand Jurys, die im Geheimen zusammentreten, um zu entscheiden, ob formelle Strafanzeige gegen eine Person erhoben werden sollte.

Das Verhältnis zwischen US-Behörden und der Sicherheitsgemeinschaft hat sich in den letzten Jahren erheblich verbessert, da sich sowohl die Einstellung gegenüber gutgläubigen Hackern als auch die Rechtslandschaft für Sicherheitsforscher zum Besseren verändert haben. Doch Vorfälle wie dieser drohen das in den letzten Jahren aufgebaute Vertrauen zu schwächen, indem sie Forscher davon abhalten, sich an der Sicherheitsverteidigung und -behebung zu beteiligen, wenn sie glauben, dass ihre Handlungen strafrechtlich verfolgt werden könnten.

In den letzten Jahren, Sicherheitsforscher haben die Sache selbst in die Hand genommen bei Diebstählen und Hacking-Kampagnen, die auf Kryptowährungen abzielen und diese stehlen. In der Kryptowelt wird dies „White Hatting“ genannt, ein Begriff, der sich auf die traditionelle Unterscheidung zwischen Black Hats, Cyberkriminellen oder Hackern, die mit böswilliger oder illegaler Absicht hacken, und White Hats, Forschern und Hackern, die ohne Kriminelles oder Böses agieren, bezieht Absicht.

Aber der Zugriff auf die Brieftasche eines Opfers – selbst der Brieftasche eines Betrügers –, um Geld zurückzugewinnen, fällt in „eine echte Grauzone“ des Gesetzes, so die ehemalige Staatsanwältin Elizabeth Roper sagte Motherboard letztes Jahr.

„Wenn es am Ende dazu führt, dass jeder, jeder Benutzer auf der Plattform und eine Menge Geld gespart wird und die Person, die es getan hat, es sofort preisgibt“, sagte Roper, „würden wir unsere Ressourcen vielleicht nicht nutzen, um diese Person strafrechtlich zu verfolgen, aber noch einmal.“ es kommt auf den konkreten Fall an.“

Lorenzo Franceschi-Bicchierai trug zur Berichterstattung bei.



tch-1-tech