Facebook hielp de FBI een man te hacken die kinderen bedreigde

Een man uit Californië heeft jarenlang jonge meisjes lastiggevallen en geterroriseerd op chatapps, in e-mails en op Facebook. Hij perste ze af met hun naaktfoto’s en -video’s en dreigde ze te vermoorden en te verkrachten. Hij dreigde ook met schietpartijen en bomaanslagen op hun scholen als ze hem geen seksueel expliciete foto’s en video’s zouden sturen.

Buster Hernandez, die zichzelf online uitgaf als ‘Brian Kil’, vormde zo’n hardnekkig probleem en hield zijn identiteit zo goed verborgen dat Facebook iets deed wat het nooit eerder had gedaan: het hielp de FBI om hem te hacken, om bewijs te verzamelen zodat hij gearresteerd en veroordeeld kon worden. Facebook deed dat niet rechtstreeks met de FBI, maar werkte samen met een hackersbedrijf om de exploit te ontwikkelen – het is onduidelijk of de FBI überhaupt wel wist dat Facebook daarbij betrokken was. Volgens bronnen binnen het bedrijf is het de eerste keer ooit dat Facebook een wetshandhavingsinstantie heeft geholpen om een doelwit te hacken.

Deze zaak laat zien waar Facebook toe in staat is, maar roept ook de vraag op of en wanneer particuliere bedrijven mogen meewerken aan het hacken van hun eigen gebruikers. Om achter het IP-adres van Hernandez te komen probeerden de FBI en Facebook met zogeheten zero-day-exploits een opening te vinden in Tails, een besturingssysteem dat al het internetverkeer van een gebruiker automatisch naar een beveiligd Tor-netwerk leidt.

Een woordvoerder van Facebook bevestigde tegenover Motherboard dat het bedrijf met ‘beveiligingsexperts’ werkte om de FBI te helpen met het hacken van Hernandez.

“De enige acceptabele uitkomst was voor ons dat Buster Hernandez zich zou verantwoorden voor wat hij die jonge meisjes heeft aangedaan,” aldus de woordvoerder. “Het was een uniek geval, want hij gebruikte zulke geavanceerde methoden om zijn identiteit te verbergen dat we buitengewone stappen hebben genomen.”

Voormalige Facebook-werknemers die bekend zijn met de situatie, vertelden aan Motherboard dat de acties van Hernandez zo extreem waren dat het bedrijf vond dat ze geen andere keuze hadden dan op deze manier in te grijpen.

“Er was in deze zaak geen enkel risico voor andere gebruikers dan Hernandez, en bij hem was er genoeg aanleiding om in te grijpen. We zouden nooit zoiets doen als anderen daar ook door geraakt zouden worden,” zei een voormalige Facebook-werknemer met kennis van de zaak. “Omdat er verder geen privacyrisico’s waren en er sprake was van een grote menselijke impact, hadden we geen andere keuze.”

Volgens meerdere huidige en voormalige Facebook-werknemers die Motherboard sprak, was de beslissing intern echter een stuk controversiëler. We lieten meerdere bronnen anoniem aan het woord zodat ze gevoeligheden konden bespreken waar ze een geheimhoudingsovereenkomst voor hadden getekend.

De gerechtelijke dossiers zijn misselijkmakend om te lezen. Buster Hernandez stuurde minderjarige meisjes een Facebook-bericht en zei: “Hi, ik wil je even wat vragen. Iets belangrijks. Naar hoeveel jongens heb je naaktfoto’s gestuurd? Want ik heb er ook een paar.”

Als een slachtoffer antwoord gaf, zei hij dat ze seksueel expliciete video’s en foto’s van zichzelf moesten sturen, en dat hij anders de naaktfoto’s naar haar vrienden en familie zou sturen die hij al in zijn bezit had (al had hij ze in werkelijkheid helemaal niet). In sommige gevallen bleef hij daarna dreigen dat hij de beelden openbaar zou maken. Hij stuurde zijn slachtoffers lange en bedreigende berichten waarin hij dreigde ze te verkrachten. Als ze hem geen beelden zouden blijven sturen zou hij hun gezin aanvallen en vermoorden, en een schietpartij houden of een bom af laten gaan op hun school. Tegen sommigen zei hij zelfs dat als ze zelfmoord zouden plegen, hij hun naaktfoto’s op hun herdenkingspagina zou posten.

Hij zei tegen ze dat hij “de ergste cyberterrorist ooit” wilde zijn.

“Ik wil een spoor van dood en vuur achterlaten,” schreef hij in 2015 over iemands school. “Ik loop morgen gewoon ongezien binnen, slacht je hele klas af en bewaar jou voor het laatst. Ik zal over je heen buigen terwijl je schreeuwt en huilt en om medelijden vraagt, waarna ik je keel van oor tot oor afsnijdt.”

Ondertussen hield hij vol dat de politie hem nooit zou pakken. “Jij dacht zeker dat de politie me nu wel gevonden zou hebben, maar dat is niet zo. Ze hebben geen idee. De politie is nutteloos,” schreef hij. “Bid alsjeblieft voor de FBI, ze gaan dit nooit oplossen Imao. Ik sta boven de wet en dat zal altijd zo zijn.”

Hernandez gebruikte het besturingssysteem Tails, dat ervoor zorgt dat al het verkeer van gebruikers versleuteld wordt en hun IP-adressen verborgen worden voor websites en diensten. Hiermee benaderde en bedreigde hij tot 2017 jarenlang tientallen slachtoffers op Facebook, volgens de gerechtelijke dossiers. Het besturingssysteem wordt veel gebruikt door journalisten, activisten en dissidenten die in de gaten worden gehouden door de politie en overheden. “Het wordt dagelijks gebruikt door meer dan 30.000 activisten en journalisten, maar ook door slachtoffers van huiselijk geweld en andere mensen die zich zorgen maken om hun privacy,” aldus een woordvoerder van Tails.

Hernandez was zo berucht binnen Facebook dat ze hem zagen als de zwaarste crimineel die het platform ooit had gebruikt, zeggen twee oud-werknemers. Volgens hen heeft Facebook zelfs iemand aangesteld om Hernandez twee jaar lang te volgen. Ook werd er een machine learning-systeem ontwikkeld om in de gaten te houden wanneer gebruikers nieuwe accounts aanmaken en minderjarigen benaderen vanuit een kwade wil. Met dat systeem konden ze Hernandez detecteren en twee andere accounts aan hem koppelen – inclusief de bijbehorende slachtoffers, aldus twee voormalige Facebook-werknemers.

Er waren meerdere FBI-kantoren bij de jacht betrokken, en het was ook de FBI die als eerste probeerde om Hernandez te ontmaskeren door hem te hacken. Maar dat mislukte omdat hun hacktool niet bij Tails in kon breken. Hernandez had de mislukte poging door en maakte de FBI vervolgens belachelijk, vertellen de twee bronnen.

Het beveiligingsteam van Facebook, toen onder leiding van Alex Stamos, realiseerde zich dat ze meer moesten doen en besloot dat de FBI hun hulp nodig had om Brian Kil te ontmaskeren. Facebook huurde een cybersecurity-bedrijf in om een hacktool te ontwikkelen voor een bedrag met vijf nullen. Een bron omschreef de tool als een zero-day exploit, wat verwijst naar een kwetsbaarheid in software die onbekend is bij de softwareontwikkelaars. Het bedrijf werkte met een ingenieur van Facebook en schreef een programma dat kon profiteren van een zwakke plek in de videoplayer van Tails, waarna het echte IP-adres van degene die de video bekeek, achterhaald kon worden. Uiteindelijk gaf Facebook deze informatie aan een tussenpartij, die het weer aan de FBI overhandigde, aldus drie huidige en voormalige werknemers met kennis van de gebeurtenissen.

Facebook vertelt Motherboard dat het niet gespecialiseerd is in het ontwikkelen van hack-exploits en niet de verwachting wilde scheppen bij de wetshandhavers dat ze zoiets vaker zouden doen. Ook zegt het bedrijf dat het wel heeft vastgesteld welke aanpak gehanteerd zou worden, maar de specifieke exploit heeft Facebook zelf niet ontwikkeld. Ze zouden pas voor het hacken hebben gekozen toen alle andere opties weg waren gevallen.

De FBI kreeg vervolgens hulp van een slachtoffer die als valstrik een video naar Hernandez stuurde. In februari pleitte hij schuldig aan 41 aanklachten, waaronder het maken van kinderporno, het dwingen en verleiden van minderjarigen, en het dreigen met moord, ontvoering en verwonding. Nu wacht hij zijn straf af, en het zit erin dat hij jaren de gevangenis in moet.

Een woordvoerder van FBI wilde geen commentaar geven voor dit stuk, omdat het nog een “lopende zaak” was. Hij verwees naar het Amerikaanse Advocatenkantoor voor het Zuidelijke District Indiana, waar Hernandez vervolgd wordt. We hebben dit kantoor meerdere keren gebeld en gemaild, maar kregen geen gehoor.

Facebook jaagt vaker op gebruikers die van criminaliteit verdacht worden: van cybercriminelen en stalkers tot afpersers en mensen die zich bezighouden met kinderuitbuiting. Dat doet het bedrijf in verschillende teams van beveiligingsspecialisten, van wie sommige ook voor de overheid hebben gewerkt. Op hun LinkedIn-profielen staan onder andere de FBI en de New Yorkse politie als voormalige werkgevers.

Deze werknemers zijn zo trots op hun eerdere werk dat ze in een van hun vergaderruimtes foto’s en krantenknipsels op de muren hebben geplakt van mensen die door hun gearresteerd zijn en zaken die ze hebben onderzocht. Dat vertellen huidige en voormalige Facebook-werknemers.

Alle bronnen die Motherboard sprak zeggen echter dat dit de eerste keer was dat Facebook op deze manier betrokken was en de FBI op zo’n manier hielp om een verdachte crimineel te pakken. Meerdere voormalige en huidige Facebook-werknemers zeggen echter dat niet iedereen het intern eens was met deze gang van zaken.

“Dat een privaat bedrijf een zero-day koopt om achter een crimineel aan te gaan: dat hele idee is fucked up, en hartstikke sketchy”, zegt een bron die op de hoogte is van het onderzoek en de ontwikkeling van de exploit.

Een andere bron: “Alles wat we deden was helemaal legaal, alleen zijn we geen wetshandhavers. Het zou me verbazen als het onder dezelfde omstandigheden opnieuw zou gebeuren.”

Een voormalige werknemer die op de hoogte is van het onderzoek vindt de samenwerking met het beveiligingsbedrijf en het betalen voor de ontwikkeling van de exploit gerechtvaardigd, omdat het ging om iemand die herhaaldelijk minderjarigen lastigviel.

“Ik denk dat ze het juiste deden. Ze hebben hard hun best gedaan voor de veiligheid van minderjarigen,” zegt deze bron. “Ik kan me niet herinneren dat er een ander bedrijf is geweest dat zoveel tijd en moeite heeft gestoken in het beperken van de schade van één kwaadaardige gast.”

Dat de hack plaatsvond bij Tails, en niet op Facebook zelf, voegt er nog een pikant laagje aan toe. Deze hack was dan wel bedoeld om te gebruiken tegen één specifieke crimineel, maar zero-days beschikbaar geven aan wetshandhavers brengt het risico met zich mee dat het ook gebruikt kan worden in andere, minder ernstige zaken. Als je één zo’n product minder veilig maakt heeft dat ook consequenties voor de rest, waardoor zero-day-hacktools vaak erg geheim worden gehouden en voor veel geld worden verkocht. Als ze in de verkeerde handen vallen kan dat desastreuze gevolgen hebben.

Een woordvoerder van Tails schreef in een e-mail dat de ontwikkelaars “tot dit moment niet op de hoogte waren van het verhaal van Hernandez, en we ons niet bewust waren van de kwetsbaarheden die gebruikt werden om hem te ontmaskeren”. De woordvoerder noemde dit “nieuwe en mogelijk gevoelige informatie”, en zei dat de exploit nooit was gemeld bij het ontwikkelaarsteam van Tails.

Normaal gesproken informeren beveiligingsonderzoekers bedrijven eerst zelf dat ze een kwetsbaarheid in hun software hebben ontdekt, en geven ze daarna de tijd om het te repareren voordat het openbaar bekend wordt gemaakt. In dit geval is dat echter niet gedaan, omdat de FBI de kwetsbaarheid wilde inzetten tegen een doelwit.

Wetshandhavers en beleidsmakers waarschuwen al jarenlang voor het zogeheten ‘going dark’-probleem, het scenario waarbij criminelen en terroristen gebruikmaken van een sterke versleuteling om niet gepakt te worden. Sinds de opkomst van standaardversleuteling hacken wetshandhavers en overheden steeds vaker hun doelwitten om hun communicatie en gegevens te onderscheppen.

Een van de factoren die het beveiligingsteam van Facebook ervan overtuigde dat ze het juiste deden, was volgens de bronnen dat er een nieuwe versie van Tails aankwam, waarbij de kwetsbare code was verholpen. Dit zorgde ervoor dat de exploit een houdbaarheidsdatum kreeg.

Zover het Facebook-team wist, waren de ontwikkelaars van Tails niet op de hoogte van deze kwetsbaarheid – ondanks dat ze de bijbehorende code hadden verwijderd. Een van de voormalige Facebook-werknemers die betrokken waren bij dit project, zegt dat ze het uiteindelijk wel aan Tails wilden vertellen, maar op een gegeven moment zagen dat het niet meer nodig was omdat de code in de nieuwe versie al was verdwenen.

Amie Stepanovich, de uitvoerend directeur van het Silicon Flatirons Center aan de University of Colorado Law School, zei dat het belangrijk is om te onthouden dat tegen wie de hacktools ook worden gebruikt, ze gebruikmaken van kwetsbaarheden die ook tegen onschuldige mensen kunnen worden ingezet.

“Een kwetsbaarheid kan tegen iedereen worden gebruikt. Tails mag dan ook door zo’n crimineel zijn gebruikt, maar ook activisten, journalisten en overheden doen dat, of andere mensen die zichzelf willen beschermen,” zegt Stepanovich. “Daarom is het belangrijk om transparant te zijn over hoe een kwetsbaarheid wordt ontdekt en hoe erop wordt gereageerd. En het zou goed zijn als ze worden gemeld bij de juiste mensen of organisaties.”

Volgens de democratische senator Ron Wyden, die veel bezig is met hoe wetshandhavers gebruikmaken van hacks, roept deze zaak ook vragen op over hoe de FBI met deze situatie is omgegaan.

“Heeft de FBI het ook voor andere zaken gebruikt? Heeft het de kwetsbaarheid met andere agentschappen gedeeld? Heeft het de zero-day gemeld bij het Vulnerabilities Equities Process?” zei Wyden in een verklaring, waarmee hij verwees naar het proces dat de overheid doorloopt om te bepalen of een kwetsbaarheid moet worden gemeld bij de ontwikkelaars van de desbetreffende software. “Er moet meer duidelijkheid komen over hoe de regering gebruik maakt van hacktools, en of de regels genoeg houvast bieden.”

De ingenieurs en beveiligingsonderzoekers die er destijds mee kwamen, houden echter vol dat ze geen keuze hadden.

“We wisten dat het gebruikt zou worden voor foute figuren,” zei een van de bronnen die betrokken was bij de zaak. “Er was een fout figuur bezig met foute dingen, en daar wilden we wat aan doen.”

Dit artikel verscheen oorspronkelijk bij VICE US.