Hackare lurade Meta, Apple genom att skicka förfalskade nödförfrågningar, skaffat kunddata

Cyberkriminella blir mer aggressiva och listiga nuförtiden att även stora teknikföretag faller i deras fällor. Två av företagen som upplevt sådan brottslighet är Apple och meta, som sagt av de tre kunniga individerna att Direkt pratade med. Enligt dem lämnade teknikföretagen en del data till de cyberbrottslingar som förfalskade juridiska förfrågningar 2021.

Kundens adress, telefonnummer och IP-adress är några av de uppgifter som delades av företagen efter att ha tagit emot bedrägliga förfrågningar om nöddata. De uppmanas vanligtvis av brottsbekämpande tjänstemän att använda dem för att lösa de fall de hanterar. När begäran framställs åtföljs den av en husrannsakningsorder eller stämning, men i fallet med "nöduppgiftsbegäranden" behövs inte sådana krav eftersom begäran kan handla om ett brådskande ärende som livshotande fall.

"I nödsituationer kan brottsbekämpande myndigheter skicka in förfrågningar utan juridisk process", säger Meta på sin webbplats. "Baserat på omständigheterna kan vi frivilligt avslöja information till brottsbekämpande myndigheter där vi har goda skäl att tro att ärendet innebär överhängande risk för allvarlig fysisk skada eller dödsfall."

Med detta sa källorna att Apple och Meta släppte uppgifterna för att följa nödbegäran. Meta rapporterade att de mottog totalt 21,700 2021 nödförfrågningar från januari till juni 77 runt om i världen, som de svarade på 29 % av dem. Samtidigt sa Apple att de kontaktades av 1,162 länder med totalt 93 XNUMX nödförfrågningar, där XNUMX % av förfrågningarna beviljades. Snap Inc. fick också en förfrågan, men det är inte klart om det svarade på den. Discord, å andra sidan, bekräftade att man också fick en nöddatabegäran som man senare tillät.

"Vi verifierar dessa förfrågningar genom att kontrollera att de kommer från en äkta källa, och gjorde det i det här fallet," sa Discord. "Medan vår verifieringsprocess bekräftade att själva brottsbekämpningskontot var legitimt, fick vi senare veta att det hade äventyrats av en illvillig aktör. Vi har sedan dess genomfört en utredning av denna olagliga aktivitet och underrättat polisen om detta äventyrat e-postkonto. "

På andra sidan myntet har Apple tydliga riktlinjer för att hantera förfrågan. Det står:

"Om en regering eller en brottsbekämpande myndighet söker kunddata som svar på en nödbegäran om information från myndigheter och brottsbekämpande myndigheter, kan en tillsynsman för regeringen eller brottsbekämpande agent som lämnade in begäran om information från nödmyndigheten och brottsbekämpande myndigheter kontaktas och ombeds bekräfta att Apple att nödbegäran var legitim."

Det nämndes inte om riktlinjerna iakttogs under efterlevnaden av de förfalskade nödförfrågningarna.

Metas uttalande återspeglar samma idé:

"Vi granskar varje databegäran för att se till att den är laglig och använder avancerade system och processer för att validera förfrågningar från brottsbekämpande myndigheter och upptäcka missbruk", säger Andy Stone, Metas talesman. "Vi blockerar kända komprometterade konton från att göra förfrågningar och arbetar med brottsbekämpande myndigheter för att svara på incidenter som involverar misstänkta bedrägliga förfrågningar, som vi har gjort i det här fallet."

Enligt personerna som redogjorde för fallet till Bloomberg kan personerna bakom fallet troligen vara tonåringar från USA och Storbritannien, med en av dem som misstänks vara hjärnan bakom cyberbrottsgruppen Slip$. Men i allmänhet sägs de dåliga aktörerna som är ansvariga för brottet vara relaterade till gruppen som kallas "Rekursionsteamet" som inte är aktiv längre, även om dess medlemmar fortfarande utför brotten under olika namn. 

Handlingen om brottet börjar med att penetrera brottsbekämpande e-postdomäner globalt. Därifrån hittar brottslingarna en mall för en juridisk begäran, som de kommer att använda senare. Med hjälp av det hittade formatet kommer dåliga skådespelare att förfalska signaturer och till och med skapa namn för att få brevet att se trovärdigt ut. Personerna som avslöjade informationen rapporterade dock en detalj som verkar mer störande än problemet som åtgärdas: inloggningsuppgifterna för dessa domäner säljs i underjordiska butiker under mörka webben med alla bifogade cookies och metadata som behövs.