Apple и Meta передавали хакерам данные пользователей

Компании Apple и Meta (признана экстремистской организацией) предоставляли данные о клиентах хакерам, которые выдавали себя за сотрудников правоохранительных органов.

По имеющимся данным, хакеры направляли в компании экстренные запросы от имени спецслужб и получали данные о пользователях, в том числе адреса, номера телефонов и IP-адреса. При этом официальные запросы, как правило, сопровождаются ордером на обыск или заверенной в суде повесткой, однако экстренные обращения не требуют дополнительных документов.

Отмечается, что организации приняли злоумышленников за представителей правоохранительных органов и отвечали на фиктивные «срочные запросы», которые не требуют решения суда для предоставления сведений.

В руководящих принципах, на которые ссылается Apple, говорится, что с руководителем правительства или агентом правоохранительных органов, подавшим запрос, «можно связаться и попросить подтвердить Apple, что экстренный запрос был законным», говорится в руководстве Apple. 

«Мы проверяем каждый запрос данных на предмет юридической достаточности и используем передовые системы и процессы для проверки запросов правоохранительных органов и выявления злоупотреблений», — заявил представитель Meta Энди Стоун. «Мы блокируем известные скомпрометированные учетные записи от отправки запросов и работаем с правоохранительными органами, чтобы реагировать на инциденты, связанные с предполагаемыми мошенническими запросами, как мы сделали в этом случае».

Правоохранительные органы по всему миру регулярно запрашивают у социальных сетей информацию о пользователях в рамках уголовных расследований. В США такие запросы обычно включают подписанный приказ судьи. Экстренные запросы предназначены для использования в случаях неминуемой опасности и не требуют, чтобы судья подписал их. 

По словам трех человек, участвующих в расследовании, хакеры, связанные с группой киберпреступников, известной как «Recursion Team», как полагают, стоят за некоторыми поддельными юридическими запросами, которые были отправлены компаниям в течение 2021 года.

Исследователи кибербезопасности подозревают, что некоторые из хакеров, отправляющих поддельные запросы, являются несовершеннолетними, проживающими в Великобритании и США. Один из несовершеннолетних также считается вдохновителем киберпреступной группы Lapsus$, которая взломала Microsoft Corp., Samsung Electronics Co. Nvidia Corp., среди прочих, говорили люди.

Recursion Team больше не активна, но многие ее члены продолжают проводить взломы под разными именами, в том числе в рамках Lapsus$, говорят люди. 

По словам одного из людей, знакомых с расследованием, информация, полученная хакерами с помощью поддельных юридических запросов, использовалась для проведения кампаний преследования. Три человека заявили, что это может быть в первую очередь использовано для облегчения схем финансового мошенничества. Зная информацию о жертве, хакеры могли использовать ее, чтобы попытаться обойти защиту учетной записи.

По словам двух человек, мошеннические юридические запросы являются частью многомесячной кампании, направленной против многих технологических компаний и начавшейся еще в январе 2021 года. Поддельные юридические запросы, как полагают, отправляются через взломанные домены электронной почты, принадлежащие правоохранительным органам в нескольких странах, по словам трех человек и еще одного человека, расследующего этот вопрос. 

Поддельные запросы были сделаны, чтобы казаться законными. По словам двух человек, в некоторых случаях документы содержали поддельные подписи настоящих или вымышленных сотрудников правоохранительных органов. Скомпрометировав системы электронной почты правоохранительных органов, хакеры могли найти законные юридические запросы и использовать их в качестве шаблона для создания подделок.

«В каждом случае, когда эти компании ошибались, в основе всего был человек, пытающийся поступить правильно», — сказала Эллисон Никсон, главный научный сотрудник киберкомпании Unit 221B. «Я не могу сказать вам, сколько раз команды доверия и безопасности незаметно спасали жизни, потому что у сотрудников была юридическая гибкость, чтобы быстро реагировать на трагическую ситуацию, разворачивающуюся для пользователя». 

Во вторник Krebs on Security сообщил, что хакеры подделали экстренный запрос данных, чтобы получить информацию от платформы социальных сетей Discord. Discord подтвердил, что он также выполнил поддельный юридический запрос. 

«Мы проверяем эти запросы, что они исходят из подлинного источника, и сделали это в данном случае», — говорится в заявлении Discord. «Хотя наш процесс проверки подтвердил, что сама учетная запись правоохранительных органов была законной, позже мы узнали, что она была скомпрометирована злоумышленником. С тех пор мы провели расследование этой незаконной деятельности и уведомили правоохранительные органы о скомпрометированной учетной записи электронной почты».

Apple и Meta публикуют данные о том, как они выполняют экстренные запросы данных. С июля по декабрь 2020 года Apple получила 1162 запроса на экстренную помощь из 29 стран. Согласно отчету, Apple предоставила данные в ответ на 93% этих запросов. 

Meta заявила, что с января по июнь 2021 года получила 21 700 экстренных запросов по всему миру и предоставила некоторые данные в ответ на 77% запросов.

«В чрезвычайных ситуациях правоохранительные органы могут подавать запросы без судебного разбирательства», — сообщает Meta на своем веб-сайте. «Исходя из обстоятельств, мы можем добровольно раскрыть информацию правоохранительным органам, если у нас есть основания полагать, что дело связано с неизбежным риском серьезных телесных повреждений или смерти».

Системы запроса данных у компаний представляют собой лоскутное одеяло из разных адресов электронной почты и корпоративных порталов. Выполнение юридических запросов может быть затруднено, потому что по всему миру существуют десятки тысяч различных правоохранительных органов, от небольших полицейских управлений до федеральных агентств. В разных юрисдикциях действуют разные законы, касающиеся запроса и раскрытия пользовательских данных.

«Не существует единой системы или централизованной системы для отправки этих данных», — сказал Джаред Дер-Егиаян, директор фирмы по кибербезопасности Recorded Future Inc. и бывший руководитель киберпрограммы в Министерстве внутренней безопасности. «Каждое агентство справляется с ними по-своему».

По словам Дер-Егиаян, такие компании, как Meta и Snap, используют свои собственные порталы для правоохранительных органов, чтобы отправлять юридические запросы, но по-прежнему принимают запросы по электронной почте и отслеживают запросы 24 часа в сутки.

Apple принимает юридические запросы на пользовательские данные по адресу электронной почты apple.com, «при условии, что они передаются с официального адреса электронной почты запрашивающего агентства», в соответствии с юридическими рекомендациями Apple. 

Компрометация доменов электронной почты правоохранительных органов по всему миру в некоторых случаях относительно проста, поскольку данные для входа в эти учетные записи доступны для продажи на криминальных онлайн-площадках. 

«Подпольные магазины даркнета содержат скомпрометированные учетные записи электронной почты правоохранительных органов, которые могут быть проданы с прикрепленными файлами cookie и метаданными по цене от 10 до 50 долларов», — сказал Джин Ю, главный исполнительный директор фирмы по кибербезопасности Resecurity, Inc. 

Ю сказал, что в прошлом году несколько правоохранительных органов стали мишенью из-за ранее неизвестных уязвимостей в почтовых серверах Microsoft Exchange, что «привело к дальнейшим вторжениям».

По словам Никсона из подразделения 221B, будет трудно найти потенциальное решение для использования поддельных юридических запросов, отправленных со взломанных систем электронной почты правоохранительных органов.

«Ситуация очень сложная, — сказала она. «Исправить это не так просто, как перекрыть поток данных. Есть много факторов, которые мы должны учитывать, помимо максимизации конфиденциальности».

22 марта сообщалось, что хакеры из группировки Lapsus$ заявили, что взломали серверы Microsoft и похитили большое количество данных. Они пояснили, что речь идет о серверах Microsoft Azure DevOps, где хранился исходный код некоторых проектов компании. Злоумышленники также выложили архив с данными объемом девять гигабайт в открытый доступ в сети.

Ранее южнокорейская компания Samsung подверглась кибератаке, в ходе которой хакеры похитили 190 ГБ конфиденциальных данных.

Meta — признана экстремистской организацией.

Держим Вас в курсе событий! Подписывайтесь на Фридман клаб в соцсетях и наш Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman

Автор: Алексей, аналитик Freedman Сlub Crypto News

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x