Apple Inc. e Meta Platforms Inc., empresa controladora do Facebook, forneceram dados de clientes a hackers que se disfarçaram de policiais, de acordo com três pessoas com conhecimento do assunto.
Veja em vídeo ou texto abaixo…
A Apple e a Meta forneceram detalhes básicos do assinante, como endereço do cliente, número de telefone e endereço IP, em meados de 2021, em resposta às “solicitações de dados de emergência” forjadas. Normalmente, esses pedidos são fornecidos apenas com um mandado de busca ou intimação assinado por um juiz, segundo as pessoas. No entanto, os pedidos de emergência não exigem uma ordem judicial.
Snap Inc. recebeu uma solicitação legal forjada dos mesmos hackers, mas não se sabe se a empresa forneceu dados em resposta. Também não está claro quantas vezes as empresas forneceram dados solicitados por solicitações legais forjadas.
Pesquisadores de segurança cibernética suspeitam que alguns dos hackers que enviam as solicitações forjadas são menores localizados no Reino Unido e nos EUA. A polícia da cidade de Londres prendeu recentemente sete pessoas em conexão com uma investigação sobre o grupo de hackers Lapsus$; a investigação está em andamento.
“Revisamos todas as solicitações de dados quanto à suficiência legal e usamos sistemas e processos avançados para validar solicitações de aplicação da lei e detectar abusos”, disse o porta-voz da Meta, Andy Stone, em comunicado. “Nós bloqueamos contas comprometidas conhecidas de fazer solicitações e trabalhamos com a aplicação da lei para responder a incidentes envolvendo solicitações fraudulentas suspeitas, como fizemos neste caso.”
A Snap não fez comentários imediatos sobre o caso, mas um porta-voz disse que a empresa tem salvaguardas para detectar solicitações fraudulentas das autoridades.
A aplicação da lei em todo o mundo pede rotineiramente às plataformas de mídia social informações sobre os usuários como parte de investigações criminais. Nos EUA, esses pedidos geralmente incluem uma ordem assinada por um juiz. Os pedidos de emergência destinam-se a ser utilizados em casos de perigo iminente e não exigem a aprovação de um juiz.
Acredita-se que hackers afiliados a um grupo de crimes cibernéticos conhecido como “Recursion Team” estejam por trás de algumas das solicitações legais forjadas, que foram enviadas a empresas ao longo de 2021, de acordo com as três pessoas envolvidas na investigação.
A Recursion Team não está mais ativa, mas muitos de seus membros continuam realizando hacks com nomes diferentes, inclusive como parte de Lapsus$, disseram as pessoas.
As informações obtidas pelos hackers usando as solicitações legais forjadas foram usadas para permitir campanhas de assédio, de acordo com uma das pessoas a par do inquérito. As três pessoas disseram que pode ser usado principalmente para facilitar esquemas de fraude financeira. Ao conhecer as informações da vítima, os hackers podem usá-las para ajudar na tentativa de burlar a segurança da conta.
A Bloomberg está omitindo alguns detalhes específicos dos eventos para proteger as identidades dos alvos.
As solicitações legais fraudulentas fazem parte de uma campanha de meses que teve como alvo muitas empresas de tecnologia e começou em janeiro de 2021, segundo duas das pessoas. Acredita-se que as solicitações legais forjadas sejam enviadas por meio de domínios de e-mail hackeados pertencentes a agências de aplicação da lei em vários países, de acordo com as três pessoas e uma pessoa adicional investigando o assunto.
Os pedidos forjados foram feitos para parecer legítimos. Em alguns casos, os documentos incluíam assinaturas forjadas de policiais reais ou fictícios, de acordo com duas das pessoas. Ao comprometer os sistemas de e-mail de aplicação da lei, os hackers podem ter encontrado solicitações legais legítimas e usá-las como modelo para criar falsificações, de acordo com uma das pessoas.
“Em todos os casos em que essas empresas erraram, no centro havia uma pessoa tentando fazer a coisa certa”, disse Allison Nixon, diretora de pesquisa da empresa cibernética Unit 221B. “Não posso dizer quantas vezes as equipes de confiança e segurança salvaram vidas silenciosamente porque os funcionários tinham flexibilidade legal para responder rapidamente a uma situação trágica que se desenrolava para um usuário.”
Na terça-feira, Krebs on Security informou que hackers forjaram uma solicitação de dados de emergência para obter informações da plataforma de mídia social Discord. Em comunicado à Bloomberg, a Discord confirmou que também atendeu a uma solicitação legal forjada.
“Verificamos esses pedidos verificando se eles vêm de uma fonte genuína, e o fizemos neste caso”, disse Discord em comunicado. “Embora nosso processo de verificação tenha confirmado que a própria conta de aplicação da lei era legítima, mais tarde descobrimos que ela havia sido comprometida por um agente malicioso. Desde então, conduzimos uma investigação sobre essa atividade ilegal e notificamos as autoridades sobre a conta de e-mail comprometida.”
A Apple e a Meta publicam dados sobre sua conformidade com solicitações de dados de emergência. De julho a dezembro de 2020, a Apple recebeu 1.162 solicitações de emergência de 29 países. De acordo com seu relatório, a Apple forneceu dados em resposta a 93% dessas solicitações.
A Meta disse que recebeu 21.700 solicitações de emergência de janeiro a junho de 2021 globalmente e forneceu alguns dados em resposta a 77% das solicitações.
“Em emergências, a aplicação da lei pode enviar solicitações sem processo legal”, afirma Meta em seu site. “Com base nas circunstâncias, podemos divulgar voluntariamente informações à aplicação da lei quando tivermos uma razão de boa fé para acreditar que o assunto envolve risco iminente de lesão física grave ou morte.”
Os sistemas de solicitação de dados de empresas são uma colcha de retalhos de diferentes endereços de e-mail e portais de empresas. Atender às solicitações legais pode ser complicado porque existem dezenas de milhares de diferentes agências de aplicação da lei, desde pequenos departamentos de polícia até agências federais, em todo o mundo. Diferentes jurisdições têm leis variadas em relação à solicitação e liberação de dados do usuário.
“Não existe um sistema ou sistema centralizado para enviar essas coisas”, disse Jared Der-Yeghiayan, diretor da empresa de segurança cibernética Recorded Future Inc. e ex-líder do programa cibernético do Departamento de Segurança Interna. “Cada agência lida com eles de maneira diferente.”
Empresas como Meta e Snap operam seus próprios portais de aplicação da lei para enviar solicitações legais, mas ainda aceitam solicitações por e-mail e monitoram solicitações 24 horas por dia, disse Der-Yeghiayan.
A Apple aceita solicitações legais de dados de usuários em um endereço de e-mail apple.com, “desde que seja transmitido do endereço de e-mail oficial da agência solicitante”, de acordo com as diretrizes legais da Apple.
Comprometer os domínios de e-mail da aplicação da lei em todo o mundo é, em alguns casos, relativamente simples, pois as informações de login dessas contas estão disponíveis para venda em mercados criminais online.
“As lojas subterrâneas da dark web contêm contas de e-mail comprometidas de agências de aplicação da lei, que podem ser vendidas com os cookies e metadados anexados por algo entre US$ 10 e US$ 50”, disse Gene Yoo, CEO da empresa de segurança cibernética Resecurity, Inc.
Yoo disse que várias agências de aplicação da lei foram atacadas no ano passado como resultado de vulnerabilidades anteriormente desconhecidas nos servidores de e-mail do Microsoft Exchange, “levando a mais invasões”.
Uma possível solução para o uso de solicitações legais forjadas enviadas de sistemas de e-mail de aplicação da lei hackeados será difícil de encontrar, disse Nixon, da Unidade 221B.
“A situação é muito complexa”, disse ela. “Corrigir não é tão simples quanto fechar o fluxo de dados. Há muitos fatores que devemos considerar além de maximizar a privacidade.”
É meus amigos, para ver o que acontece com as suas informações na internet. É melhor compartilhar o minimo possivel…
GOSTA DE NOTÍCIAS NA PALMA DA MÃO?
ACESSE NOSSOS GRUPOS NA SUA REDE SOCIAL PREFERIDA E RECEBA NOSSAS INFORMAÇÕES
