Согласно отчету Bloomberg, Apple и Meta передавали пользовательские данные хакерам, которые подделывали заказы на экстренный запрос данных, обычно отправляемые правоохранительными органами. Ошибка произошла в середине 2021 года, когда обе компании поддались на фальшивые запросы и предоставили информацию об IP-адресах пользователей, номерах телефонов и домашних адресах.
Сотрудники правоохранительных органов часто запрашивают данные с социальных платформ в связи с уголовными расследованиями, что позволяет им получать информацию о владельце конкретной онлайн-учетной записи. В то время как для этих запросов требуется повестка в суд или ордер на обыск, подписанный судьей, запросы экстренных данных этого не делают — и предназначены для случаев, связанных с опасными для жизни ситуациями.
Поддельные запросы экстренных данных становятся все более распространенными, как объясняется в недавнем отчете Krebs по безопасности. Во время атаки хакеры должны сначала получить доступ к системам электронной почты полицейского управления. Затем хакеры могут подделать экстренный запрос данных, в котором описывается потенциальная опасность того, что запрошенные данные не будут отправлены сразу, при этом выдавая себя за сотрудника правоохранительных органов. По словам Кребса, некоторые хакеры продают доступ к правительственным электронным письмам онлайн, в частности, с целью нацеливания на социальные платформы с поддельными запросами экстренных данных.
Поддельные запросы экстренных данных чаще всего выполняются подростками
Как отмечает Кребс, большинство злоумышленников, выполняющих эти поддельные запросы, на самом деле являются подростками — и, согласно Bloomberg, исследователи кибербезопасности полагают, что подросток, стоящий за хакерской группой Lapsus $, может быть причастен к проведению такого рода мошенничества. С тех пор лондонская полиция арестовала семерых подростков в связи с этой группой.
Но прошлогодняя серия атак, возможно, была совершена членами группы киберпреступников под названием Recursion Team. Хотя группа распалась, некоторые из них присоединились к Lapsus$ под другими именами. Официальные лица, участвовавшие в расследовании, сообщили Bloomberg, что хакеры получили доступ к учетным записям правоохранительных органов во многих странах и в течение нескольких месяцев, начиная с января 2021 года, атаковали многие компании.
“Мы проверяем каждый запрос данных на предмет юридической достаточности и используем передовые системы и процессы для проверки запросов правоохранительных органов и выявления злоупотреблений”, — сказал Энди Стоун, директор по политике и коммуникациям Meta, в заявлении, отправленном по электронной почте The Verge. “Мы блокируем известные скомпрометированные учетные записи от отправки запросов и сотрудничаем с правоохранительными органами для реагирования на инциденты, связанные с подозрительными мошенническими запросами, как мы сделали в этом случае”.
Когда его попросили прокомментировать, Apple направила The Verge в свои руководящие принципы по обеспечению соблюдения законов, в которых говорится: “Если правительство или правоохранительные органы запрашивают данные клиентов в ответ на запрос Экстренной правительственной и правоохранительной информации, руководитель правительства или сотрудник правоохранительных органов, который отправил Запрос Экстренной правительственной и правоохранительной информации с вами могут связаться и попросить подтвердить Apple, что экстренный запрос был законным”.
Meta и Apple — не единственные известные компании, пострадавшие от поддельных запросов экстренных данных. Bloomberg сообщает, что хакеры также связались с Snap с поддельным запросом, но неясно, выполнила ли компания его. Отчет Кребса по безопасности также включает подтверждение от Discord о том, что платформа предоставила информацию в ответ на один из этих поддельных запросов. Snap и Discord не сразу ответили на запросы The Verge о комментариях.
