Wyjaśnienie całej sytuacji z Szymonem Hołownią

czarodziejski
czarodziejski
czarodziejski

Wyjaśnienie całej sytuacji z Szymonem Hołownią, od samego początku.

Cześć, z tej strony Fir3, zawodowo jestem pentesterem - niektórzy mogą mnie kojarzyć ( ͡° ͜ʖ ͡°) Na wypoku konta nie mam więc poprosiłem czarodzieja aby opublikować ten tekst z jego konta.

Wszystko zaczęło się 10 wrz 2021 gdy zobaczyłem twitterową inbę z licencją jakiegoś modułu appki Jaśmina, postanowiłem sobie sprawdzić jak ta aplikacja działa. Miałem wcześniej przygotowanego do innych pentestów androida na virtualboxie i puszczonego przez BurpSuite (proxy i multitool do pentestów). Zainstalowałem Jaśminę, założyłem sobie w niej konto. Pierwsze co zauważyłem to brak weryfikacji certyfikatu, czyli myślę no już pierwszy fail ale gładko nie trzeba się bawić w SSL pinning. Wiele nawet nie musiałem szukać bo w zapytaniach do API appka otrzymywała adresy email każdego z użytkowników, których profil wyświetlała. Więc adresy te były wysyłane do każdego telefonu, który używał appki. Natomiast w wyszukiwarce API zwracało dane całymi partiami, chyba po 200 rekordów. Nadmiarowość wysyłanych danych przez API (w tym wypadku adresu mailowego) jest dosyć częstym błędem programistów, gdy aplikacja nie przechodzi testów pomiędzy procesem developerskim a produkcyjnym. Po to są pentesty.

Znaleziony błąd szybko zescreenowałem i wrzuciłem na twitter oznaczając Jaśminę, i samego Szymona Hołownię. Wysłałem też wiadomość email na adres Szymona, na icloud. Co ciekawe błąd załatano w około godzinę po moim zgłoszeniu, więc bardzo szybko i należą się za to brawa. Sprawę następnego dnia na tt podłapał Piotrek Konieczny a w niedzielę napisał artykuł na niebezpieczniku: https://niebezpiecznik.pl/post...


Ja z tego się pośmiałem, minął tydzień kończył się kolejny weekend a ja o sprawie w sumie już zapomniałem, aż do niedzieli 19 września 2021. Tego dnia leżałem już z dziewczyną w wyrku, oglądaliśmy sobie netflixa i była godzina kilka minut przed 22, dzwoni do mnie mój brat że u nas w domu była policja bo wysłałem email na komendę że niby chcę się zabić. I za około 10-15 minut pod dom mojej dziewczyny przyjeżdżają na dwa auta chyba pięciu albo więcej policjantów. Dzwonią do drzwi, straszą starszego Pana (dziadka mojej lubej, weterana wojennego z Kambodży). Ja wyszedłem do nich wyjaśnić sprawę, a Ci że jaki mam email, i czy wysyłałem dzisiaj emaile, to im mówię że nie, że leżę z dziewczyną i serial oglądamy, że dzwonił do mnie brat i mówił że byliście u niego bo podobno chcę się zabić ale przecież stoję tu przed wami cały i zdrowy, nie mam zamiaru się zabijać i ktoś sobie jakieś żarty musi robić z tymi mailami, i że pomogę wam ustalić kto to. Ci natomiast do mnie że mam się zamknąć założyli mi bransolety, nie pozwolili nawet butów ubrać (byłem w klapkach i dziewczyna po buty biegła). Zabrali również mój telefon, mój laptop, dziewczyny telefon i dziewczyny laptop, który był gwiazdkowym prezentem ode mnie.

No i zabrali mnie na komendę. Na komendzie zamknęli mnie w takim pomieszczeniu przejściowym i zaczęli pytać czy znam komendanta, na co ja że jedynie z nazwiska (małe miasto) ale osobiście nawet nie wiem który to. I zarzucili mi że w tych emailach rzekomo wysłałem pogróżki pozbawienia życia do komendanta. Policja nie poinformowała mojego adwokata o moim zatrzymaniu, mimo kilkukrotnych moich żądań tego. Mojego ojca okłamali że ja nie chcę adwokata. Gdy pytałem policjantów czy sprawdzili nagłówki maila to patrzyli na mnie jak na debila i pytali co to jest. Jak im tłumaczyłem że to takie dane dodatkowe, które serwer wysyła w wiadomości, że są w nich adresy IP, i dane o kliencie poczty itp to tylko czułem ich pogardę jakby myśleli że sobie to zmyślam. xD No i dalej wrzucili mnie do oświetlonej ośmioma świetlówkami celi, gdzie przyjmując parametry że jedna daje około 60 lm/w to taka 15w lampa daje 900 lumenów, a w sprzedaży są i świetlówki 3o i więcej watowe. Nie wiem jakie tam były zamontowane, ale było ich 8 więc światła było co najmniej te 7200 lumenów. Co jest naprawdę bardzo dużo. I tak dzień i noc przez 36 godzin. Dali śmierdzące koce, oczywiście osadzając w celi kazali się rozebrać i zrobić słowiański przykuc, jakbym chciał laptopa w tyłku schować... Ale to nic. Największy hit macie tutaj:
https://pl-pl.facebook.com/zwi...
W dniach kiedy mnie zatrzymano w wodociągach u mnie w mieście woda była skażona bakterią E. Coli. i taką kranówę podawali mi do picia, oczywiści o skażeniu wody nie wiedziałem bo byłem odcięty od wszelkich mediów. Pierwszej nocy chyba sześć razy się wypróżniałem.

Ale już mniejsza, we wtorek zostałem dopiero przewieziony do prokuratury w Kluczborku celem przesłuchania. Tam złożyłem wyjaśnienia. A prokurator nałożył mi dozór policyjny, który trwa do teraz, oraz zakaz zbliżania się do Komendanta. Tak kazali mi się meldować raz w tygodniu na komendzie i zakazali zbliżać do komendanta tejże komendy na 50 metrów. Takie absurdy tu mamy.

Jak już mnie wypuścili to skontaktowałem się z adwokatem. Napisaliśmy zażalenia na dozór itp oraz złożyłem zawiadomienie o popełnieniu przestępstw przez policję. Tego samego dnia napisałem też do Piotrka Koniecznego na Twitterze:





No i tak się dowiedziałem o tym że sprawa jest szersza. Wymieniliśmy jeszcze parę informacji, ja przekazałem Piotrkowi sygn akt a on przekazał ją do prokuratury w Warszawie, która najpierw zażyczyła sobie akt do wglądu na 2 tygodnie. A po 2 miesiącach przejęła śledztwo, niestety mój dozór pozostał a sprzętu nie odzyskałem. Miałem też wgląd w akta, i tam widziałem że do postępowania dołączono to z pogróżkami odnośnie Szymona Hołowni.

Co dalej?
Kilka dni temu Adam z z3s opublikował taki artykuł:
https://zaufanatrzeciastrona.p...


Wynika z niego że nasz "żartowniś" wciąż się bawi, tylko zmienił sobie zabawkę. Już nie wysyła maili, tylko używa pewnie jakiejś voipowej bramki do fałszowania numeru caller id. Jest to dosyć proste do wykonania i można kupić jako usługę za kilka dolców. Sprawa ciągnie się podobno od 2 lat, tak wynika z informacji które udało mi się zdobyć. Od 2 lat prokuratura nie jest w stanie złapać osoby, która się podszywa pod ludzi z branży IT Security, pod dziennikarzy czy polityków i wysyła pogróżki, alarmy bombowe przy tym paraliżując pracę służb, zajmując ich czas i robiąc problemy często przypadkowym ludziom. Osoba ta jest bardzo ostrożna, na tyle że osoby z branży bezpieczeństwa IT nawet mają problem z jej znalezieniem. Używa najpewniej proxy opartego o botnet, przez co jest w stanie wybrać dosłownie dowolne miasto połączenia (tak są takie usługi i kosztują one od 30 do kilkuset usd).

Dzisiaj natomiast wybuchła aferka z kolejną ofiarą "podszywacza" (ja tak na niego mówię, bo jak?) https://www.wykop.pl/link/6443... Gdzie użytkownik Twittera, Paweł w podobnym czasie wysłał na upubliczniony przeze mnie adres Szymona wiadomość o treści że nie poszło im z appką, za co miał skonfiskowany telefon. Po czym sam Szymon Hołownia opublikował to nagranie. https://www.facebook.com/szymo...

Gdzie sugeruje że wiadomość o błędzie dostał od tego samego nadawcy co groźby karalne. Traktuję to jako pomówienie. Aktualnie wystosowałem do Szymona oficjalną prośbę o sprostowanie. Zobaczymy jak się sprawa potoczy dalej, zapewne jutro.

No a dzisiaj kolejna ofiara tego procederu:
https://twitter.com/htznajomsk...

Więcej informacji o całej sprawie z podszyciami można znaleźć w publikacjach:

https://wiadomosci.wp.pl/metod...
https://zaufanatrzeciastrona.p...
https://payload.pl/stylometria...

Jakby ktoś miał jakieś informacje, lub również był ofiarą to piszcie tutaj pv do czarodzieja, odezwę się poprzez jego konto i przekażę wszystko gdzie trzeba. Możecie też się kontaktować z Adamem z zaufanej i Piotrkiem niebezpiecznikiem.

PS. branoc bo to już jest jutro.

Bless.
Łukasz.