Apple og Meta overdrog brugerdata til hackere, der forfalskede ordrer om nøddataanmodninger, der typisk sendes af retshåndhævelse, ifølge en rapport fra Bloomberg. Skuddet skete i midten af 2021, hvor begge virksomheder faldt for de falske anmodninger og oplyste oplysninger om brugernes IP-adresser, telefonnumre og hjemmeadresser.
Retshåndhævende embedsmænd anmoder ofte om data fra sociale platforme i forbindelse med strafferetlige efterforskninger, hvilket giver dem mulighed for at få oplysninger om ejeren af en specifik onlinekonto. Selvom disse anmodninger kræver en stævning eller ransagningskendelse underskrevet af en dommer, gør det ikke nøddataanmodninger – og er beregnet til sager, der involverer livstruende situationer.
Falske anmodninger om nøddata bliver mere og mere almindelige, som forklaret i en nylig rapport fra Krebs om sikkerhed. Under et angreb skal hackere først få adgang til en politiafdelings e-mail-systemer. Hackerne kan derefter forfalske en nøddataanmodning, der beskriver den potentielle fare ved ikke at få de anmodede data sendt over med det samme, alt imens de antager identiteten af en retshåndhævende embedsmand. Ifølge Krebs sælger nogle hackere adgang til offentlige e-mails online, specifikt med det formål at målrette mod sociale platforme med falske nøddataanmodninger.
Falske nøddataanmodninger udføres oftest af teenagere
Som Krebs bemærker, er størstedelen af de dårlige skuespillere, der udfører disse falske anmodninger, faktisk teenagere – og ifølge Bloomberg mener cybersikkerhedsforskere, at teenagerhjernen bag Lapsus$-hackinggruppen kan være involveret i at udføre denne form for fidus. Londons politi har siden anholdt syv teenagere i forbindelse med gruppen.
Men sidste års række af angreb kan være blevet udført af medlemmer af en cyberkriminel gruppe kaldet Recursion Team. Selvom gruppen er gået i opløsning, har nogle af dem sluttet sig til Lapsus$ med forskellige navne. Embedsmænd involveret i efterforskningen fortalte Bloomberg, at hackere fik adgang til konti fra retshåndhævende myndigheder i flere lande og målrettede mange virksomheder i løbet af flere måneder fra januar 2021.
“Vi gennemgår hver dataanmodning for juridisk tilstrækkelighed og bruger avancerede systemer og processer til at validere retshåndhævelsesanmodninger og opdage misbrug,” sagde Andy Stone, Metas politik- og kommunikationsdirektør, i en e-mail-meddelelse til The Verge. “Vi blokerer kendte kompromitterede konti fra at fremsætte anmodninger og samarbejder med retshåndhævelse for at reagere på hændelser, der involverer mistænkte svigagtige anmodninger, som vi har gjort i denne sag.”
Da Apple blev bedt om en kommentar henviste The Verge til sine retningslinjer for retshåndhævelse, som siger: “Hvis en regering eller et retshåndhævende agentur søger kundedata som svar på en nødsituation regering & Lovhåndhævelsesinformationsanmodning, en tilsynsførende for regeringen eller retshåndhævende agent, der indsendte nødregeringen & Lovhåndhævelsesinformationsanmodning kan blive kontaktet og bedt om at bekræfte over for Apple, at nødanmodningen var legitim.”
Meta og Apple er ikke de eneste kendte virksomheder, der er berørt af falske anmodninger om nøddata. Bloomberg siger, at hackere også kontaktede Snap med en forfalsket anmodning, men det er ikke klart, om virksomheden fulgte op. Krebs on Securitys rapport indeholder også en bekræftelse fra Discord om, at platformen har givet oplysninger væk som svar på en af disse falske anmodninger. Snap og Discord reagerede ikke umiddelbart på anmodninger om kommentarer fra The Verge.