Politie haalt chatdienst Matrix uit de lucht en kon maandenlang meelezen
De politie heeft een chatdienst genaamd Matrix offline gehaald en kon maandenlang met berichten van gebruikers meelezen. Er zouden 2,3 miljoen berichten zijn onderschept. Tijdens de operatie zijn twee verdachten aangehouden. Volgens de politie werd de berichtendienst, die ook bekend stond als Mactrix, Totalsec, X-quantum en Q-Safe, voor allerlei criminele doeleinden gebruikt. Voor het gebruik van Matrix moesten gebruikers een abonnement afsluiten. Een telefoon met abonnement kostte voor zes maanden tussen de dertienhonderd en zestienhonderd euro. Nieuwe gebruikers konden alleen een toestel krijgen als ze werden uitgenodigd, aldus de politie.
Matrix is ook de naam van een bedrijf en communicatieprotocol die niets met de nu offline gehaalde chatdienst te maken hebben, zo laat de politie verder weten. Tijdens het onderzoek naar de chatdienst bleek dat een belangrijk deel van de infrastructuur van de dienst zich in Frankrijk bevond. Uiteindelijk is er een samenwerking van Nederlandse en Franse autoriteiten opgestart door de oprichting van een Joint Investigation Team, net zoals bij het offline halen van chatdienst EncroChat gebeurde.
Hoe er toegang tot de dienst kon worden verkregen laat de politie niet weten. In de aankondiging wordt gesteld dat het met behulp van 'specialistische kennis en expertise op het gebied van digitale technologie' gelukt is de 'geavanceerde, zwaarbeveiligde berichtendienst te onderscheppen'. Daarnaast is 'innovatieve data-analyse' met traditionele opsporingsmethodes gecombineerd. Inhoudelijke details ontbreken echter.
De politie kon via de verkregen toegang maandenlang met berichten van gebruikers meekijken, waarbij 2,3 miljoen berichten werden onderschept, zo meldt Europol. De infrastructuur bestond uit meer dan veertig servers verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd en gebruikers bevonden zich grotendeels in Zuid-Europa, schrijft de politie. Matrix telde wereldwijd achtduizend accounts, aldus Europol.
De chatdienst had mogelijk ook gebruikers die zich kunnen beroepen op het wettelijk verschoningsrecht, zoals advocaten, notarissen, artsen of geestelijken. De politie stelt dat deze personen dit kunnen melden door hun gebruikersgegevens via een e-mailadres van het Openbaar Ministerie te delen met de politie. Gebruikers van de chatdienst zijn over de operatie geïnformeerd. De politie sluit meer aanhoudingen niet uit.
https://nos.nl/artikel/2546901-politie-las-mee-in-criminele-chat-app-miljoenen-berichten-onderschept
Of ze hebben het netwerk geinfiltreerd met een undercover agent of ze hebben een informant omgekocht om een telefoon te verkrijgen
Door er geld voor te vragen weet je zeker dat je de aandacht krijgt van politiediensten. Als het al niet opgezet is door diezelfde politiediensten.
Of ze hebben het netwerk geinfiltreerd met een undercover agent of ze hebben een informant omgekocht om een telefoon te verkrijgen
Allebei fout.
De politie mag de bevoegdheid NOOIT krijgen.
Je kunt als crimineel tegenwoordig beter in de massa onderduiken en Signal gebruiken. Eventueel een hardened fork ervan als Molly.
Je kunt als crimineel tegenwoordig beter in de massa onderduiken en Signal gebruiken. Eventueel een hardened fork ervan als Molly.
Ja, en zoals altijd lanceren ze gewoon een dienst vanuit de politie. In de krant zeggen ze dan "het is gekraakt door de politie".
Nogal een misleiding.
Je moet ervoor betalen, wie betaalt er nu voor een 'anonieme dienst' ? En ze misbruiken de naam van Matrix (de echte app)
Wel apart dat bij al die door de politie gefounded chatapps nooit iets bekend is over deze apps in de foss community... het zijn waarschijnlijk gewoon criminele infiltraten die deze apps laten bouwen voor de politie, en het adverteren binnen de criminele communities
Door er geld voor te vragen weet je zeker dat je de aandacht krijgt van politiediensten. Als het al niet opgezet is door diezelfde politiediensten.
doen particulieren toch ook? webservertje voor berichtjes en vakantie kiekjes, maar toch betalen ze ervoor met hun en erger nog, MIJN privegegevens...
De politie mag de bevoegdheid NOOIT krijgen.
Sinds wanneer?
Nee. Aangezien het systeem in Frankrijk stond, vermoed ik dat de methode van opereren vergelijkbaar was met eerdere acties, zoals bij Encrochat. Hierbij werd de server gehost door OVH, en OVH werd gedwongen om te doen alsof er onderhoud plaatsvond. Dit gaf de autoriteiten de mogelijkheid om de (fysieke) server te kopiëren, het geheugen en de schijf uit te lezen en te zoeken naar toegangspunten.
Ik vermoed dat ze hierna de software centraal hebben geüpdatet of de server zodanig hebben aangepast dat de autoriteiten als BCC werden meegenomen. Wat je ook vaak ziet, is dat de software dusdanig wordt aangepast dat informatie, zoals WiFi- en Bluetooth-adressen in de omgeving, wordt meegestuurd. Daarnaast wordt functionaliteit zoals remote erase uitgeschakeld of zelfs gefaket, zodat gebruikers denken dat hun gegevens veilig zijn gewist terwijl dit niet het geval is.
Kortom, een slimme zet met een flinke dosis creativiteit. Petje af! ;)
Inderdaad, maar men kan beter app-onafhankelijke PGP gebruiken voor platte tekst en handmatige versleuteling voor bestanden alvorens deze te verzenden, zelfs als er wordt meegelezen ontvamgt men alleen maar onzin.
Die criminelen zijn geen IT'ers, die willen een laagdrempelig systeem waar ze simpelweg geld voor over hebben. En er zijn genoeg mensen die daar een slaatje uit willen slaan. Net als Ransomware-as-a-Service.
Kijk eens naar de inkomsten:
Per 6 maanden, uitgaande van 1400 euro per telefoon, 8000 gebruikers is 11,2 miljoen euro. Voor een half jaar! Ze hebben het "ontdekt" op een telefoon van de verdachte achter de moord op Peter R de Vries, dat was in 2021. Dat is dus zeker 3 jaar dat ze hebben kunnen cashen aan dat systeem; 6x6 maanden is 67,2 miljoen euro. Best lucratief dus.
Ze zeggen altijd "politie heeft gekraakt" maar in de praktijk is dit: "politie lanceerde een bedrijfje en runde de crypto zelf"
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.