Hackere narre Meta, Apple ved at sende forfalskede nødanmodninger, erhvervede kundedata

Cyberkriminelle bliver mere aggressive og snedige i dag, at selv store teknologivirksomheder falder i deres fælder. To af de virksomheder, der oplevede sådan kriminalitet, er Apple , Meta, som sagt af de tre vidende personer, der Bloomberg talte til. Ifølge dem leverede teknologivirksomhederne nogle data til de cyberkriminelle, der forfalskede juridiske anmodninger i 2021.

Kundens adresse, telefonnummer og IP-adresse er nogle af de detaljer, der blev delt af virksomhederne efter at have modtaget svigagtige anmodninger om nøddata. De bliver normalt anmodet af retshåndhævende embedsmænd om at bruge dem til at løse de sager, de håndterer. Når anmodningen fremlægges, ledsages den af ​​en ransagningskendelse eller stævning, men i tilfælde af "nøddataanmodninger" er sådanne krav ikke nødvendige, da anmodningen kan dreje sig om et presserende forhold som livstruende sager.

"I nødstilfælde kan retshåndhævende myndigheder indsende anmodninger uden juridisk proces," siger Meta på sin hjemmeside. "Baseret på omstændighederne kan vi frivilligt videregive oplysninger til retshåndhævelse, hvor vi har en god tro grund til at tro, at sagen involverer overhængende risiko for alvorlig fysisk skade eller død."

Med dette sagde kilderne, at Apple og Meta frigav dataene for at efterkomme nødanmodningen. Meta rapporterede, at det modtog i alt 21,700 nødanmodninger fra januar til juni 2021 over hele kloden, som det besvarede 77 % af dem. I mellemtiden sagde Apple, at det blev kontaktet af 29 lande med i alt 1,162 nødanmodninger, hvor 93% af anmodningerne blev imødekommet. Snap Inc. modtog også en anmodning, selvom det ikke er klart, om det besvarede den. Discord bekræftede på den anden side, at det også modtog en nøddataanmodning, som det senere tillod.

"Vi verificerer disse anmodninger ved at kontrollere, at de kommer fra en ægte kilde, og vi gjorde det i dette tilfælde," sagde Discord. "Mens vores verifikationsproces bekræftede, at selve retshåndhævelseskontoen var legitim, erfarede vi senere, at den var blevet kompromitteret af en ondsindet aktør. Vi har siden gennemført en undersøgelse af denne ulovlige aktivitet og underrettet retshåndhævelsen om kompromitteret e-mail-konto".

På den anden side af medaljen har Apple klare retningslinjer for behandling af anmodningen. Det lyder:

"Hvis en regering eller et retshåndhævende organ søger kundedata som svar på en nødoplysningsanmodning fra regering og retshåndhævelse, kan en tilsynsførende for regeringen eller den retshåndhævende agent, der har indsendt anmodningen om nødoplysning fra myndigheder og retshåndhævelse, blive kontaktet og bedt om at bekræfte Apple, at nødanmodningen var legitim."

Det blev ikke nævnt, om retningslinjerne blev overholdt under efterlevelsen af ​​de forfalskede nødanmodninger.

Metas udtalelse afspejler den samme idé:

"Vi gennemgår hver dataanmodning for juridisk tilstrækkelighed og bruger avancerede systemer og processer til at validere retshåndhævelsesanmodninger og opdage misbrug," sagde Andy Stone, Meta-talsmand. "Vi blokerer kendte kompromitterede konti fra at fremsætte anmodninger og samarbejder med retshåndhævelsen for at reagere på hændelser, der involverer mistænkte svigagtige anmodninger, som vi har gjort i denne sag."

Ifølge de personer, der detaljerede sagen til Bloomberg, kan personerne bag sagen sandsynligvis være teenagere fra USA og Storbritannien, hvor en af ​​dem mistænkes for at være bagmanden bag cyberkriminalitetsgruppen Slip$. Alligevel siges de dårlige aktører, der er ansvarlige for forbrydelsen, generelt at være relateret til gruppen kaldet "Recursion Team", som ikke er aktiv længere, selvom dens medlemmer stadig udfører forbrydelserne under forskellige navne. 

Handlingen om forbrydelsen starter med at trænge ind på de retshåndhævende e-maildomæner globalt. Derfra finder de kriminelle en skabelon for en juridisk anmodning, som de vil bruge senere. Ved at bruge det fundne format vil dårlige skuespillere forfalske signaturer og endda skabe navne for at få brevet til at se troværdigt ud. De personer, der afslørede oplysningerne, rapporterede imidlertid en detalje, der virker mere foruroligende end det problem, der bliver løst: Loginoplysningerne for disse domæner sælges i undergrundsbutikkerne på dark web med alle de nødvendige vedhæftede cookies og metadata.