Apple i Meta na prevaru dale hakerima podatke o korisnicima

Apple i Meta dali su podatke o korisnicima hakerima koji su se maskirali u službenike za provedbu zakona, što je dovelo do ogromnog sigurnosnog problema.

Sve se odvilo srednom prošle godine, a podaci o kojima se radi jesu oni o pretplatnicima i uključuju njihove adrese, telefonske brojeve i IP adrese. A sve to zbilo se kao odgovor na "hitne zahtjeve za podacima". Oni se inače dostavljaju samo uz nalog za pretres ili sudski poziv potpisan od strane suca. Ali, hitni zahtjevi ne zahtijevaju sudski nalog. Takav je primio i Snap, ali nije poznato jesu li iz te kompanije dostavili podatke kao odgovor na prevaru hakera. Također, nije poznato koliko su puta tvrtke dostavile podatke potaknute krivotvorenim pravnim zahtjevima.

Stručnjaci sumnjaju da su neki od hakera koji šalju krivotvorene zahtjeve maloljetnici, a nalaze se u Velikoj Britaniji i Sjedinjenim Američkim Državama. Vjeruje se i da je jedan od njih lider grupe Lapsus$, koja je hakirala Microsoft, Samsung i Nvidiu. Tim povodom, londonska policija nedavno je uhitila sedam osoba.

"Smjernice na koje se Apple poziva kažu da se nadzornik vlade ili agenta za provođenje zakona koji je podnio zahtjev može kontaktirati i zatražiti da potvrdi Appleu da je hitni zahtjev legitiman", navodi se u smjernicama Applea.

"Provjeravamo zakonsku dostatnost svakog zahtjeva za podacima i koristimo napredne sustave i procese za provjeru valjanosti zahtjeva za provođenje zakona i otkrivanje zlouporabe", rekao je glasnogovornik Mete Andy Stone i dodao:

"Blokiramo poznate kompromitirane račune da ne postavljaju zahtjeve i surađujemo s organima za provođenje zakona kako bismo odgovorili na incidente koji uključuju sumnje na lažne zahtjeve, kao što smo učinili u ovom slučaju.

Podaci do kojih su hakeri došli korištenjem krivotvorenih pravnih zahtjeva korišteni su za omogućavanje kampanja uznemiravanja, tvrde upućeni. S dobivenim podacima pak je moguće doći i do financijske koristi, zbog čega cijela priča nije bezazlena.

Krivotvoreni zahtjevi su se činili legitimnim. U nekim slučajevima, dokumenti su uključivali krivotvorene potpise stvarnih ili izmišljenih službenika za provođenje zakona. Kompromitirajući sustave e-pošte za provedbu zakona, hakeri su možda pronašli legitimne pravne zahtjeve i upotrijebili ih kao predložak za stvaranje krivotvorina, tvrdi jedan od ljudi.

Apple i Meta objavljuju podatke o svojoj usklađenosti sa zahtjevima za hitne podatke pa tako možemo vidjeti da je od srpnja do prosinca 2020. Apple primio 1162 hitna zahtjeva iz 29 zemalja. Prema izvješću, Apple je dostavio podatke kao odgovor na 93 posto tih zahtjeva. Meta je zaprimila 21.700 zahtjeva za hitne slučajeve od siječnja do lipnja 2021. u cijelom svijetu i dala neke podatke kao odgovor na 77 posto zahtjeva.

Kako su maloljetnici uopće uspjeli izvesti sve ovo? Naime, ompromitiranje domena e-pošte organa za provođenje zakona diljem svijeta u nekim je slučajevima relativno jednostavno, budući da su podaci za prijavu za te račune dostupni kroz  prodaju na internetskim tržištima za kriminal.

"Dark Web sadrži kompromitirane račune e-pošte agencija za provođenje zakona, koji se mogu prodati s priloženim kolačićima i metapodacima za bilo koju cijenu od 10 do 50 dolara", objasnio je Gene Yoo, glavni izvršni direktor kompanije Resecurity, specijaliziranu za kibernetičku sigurnost.

Dakle, iznimno je bitno odsad poraditi i na tom segmentu jer hakeri uistinu traže svaki djelić prostora da bi izeli prevare.