אפל ומטא רומו: האקרים התחזו לשוטרים וקיבלו מהן דטה של גולשים

אפל ומטא סיפקו נתוני לקוחות אישיים להאקרים שהתחזו לנציגי רשויות אכיפת החוק מארה"ב. המידע אושר על ידי שלושה מקורות, כך לפי חשיפה של בלומברג.

שתי ענקיות הטק סיפקו להאקרים נתונים בסיסיים על לקוחותיהן ומשתמשיהן, כמו למשל כתובות מגורים, מספרי טלפון וכתובת IP, אחרי שהאמינו לאותנטיות של צווים מזויפים שבהם בקשות לנתוני חירום, הנשלחים בדרך כלל מטעם רשויות אכיפת החוק, ושמאחוריהם עמדו פושעי הסייבר.

התקרית, לפי בלומברג, התרחשה באמצע 2021. מומחים מאמינים שהאקרים יכולים להשתמש בנתונים שהושגו לצורך הונאה פיננסית אך אין לעת עתה מידע על מספר המשתמשים שהושפעו מהאירועים, אם בכלל.

הבקשות לנתוני החירום שקיבלו החברות אז היו, כך ברור כעת – מזויפות. בחלק מהמקרים, הבקשות הכילו חתימות מזויפות של קציני אכיפת חוק אמיתיים. לא ידוע כמה פעמים החברות סיפקו נתונים למתחזים.

על פי המדיניות של אפל, כשקצין אכיפת חוק מגיש בקשת חירום "ניתן ליצור איתו קשר ולבקש ממנו לוודא שהבקשה הייתה לגיטימית". לא ברור מדוע הנוהל לא בוצע במקרה זה.

האם מאחורי התרמית עומדו בני נוער?

אחד החשודים בפרשה הוא הנער שמוביל כרגע את קבוצת ההאקרים המדוברת $Lapsus – שעומדת מאחורי התקפות אחרונות על מיקרוסופט, סמסונג, LG, אנבידיה וחברות ענק אחרות. עם זאת באותו זמן הוא היה חלק מקבוצה אחרת של האקרים, ששמה צוות רקוסיה (Recursion Team).

המנהיג של $Lapsus, הנוטה לשתמש בשמות 'White' ו-'Breachbase' באינטרנט, הוא קטין המתגורר בבריטניה בקרבת אוניברסיטת אוקספורד, כך חשפה עיתונאית של בלומברג מוקדם יותר החודש.

החוקרים העוסקים בפרשה מאמינים שאכן חלק מההאקרים של צוות רקורסיה הם בני נוער צעירים מארצות הברית ומבריטניה. משטרת לונדון עצרה באחרונה שבעה צעירים לחקירה בנדון, כדי לנסות לאתר את חברי קבוצת האקרים הזו. העצורים שוחררו אחרי חקירתם.

חברות טכנולוגיה מקבלות לרוב סוגים שונים של בקשות משפטיות לקבלת מידע על לקוחות או משתמשים מסוימים. בארצות הברית, בקשות מן המניין זקוקות לחתימת שופט כדי להיות תקפות, אך בקשות חירום, המיועדות לשמש במקרים של סכנה קרובה, פטורות מדרישה זו. על פי ההערכות, פושעי סייבר מצוות הרקורסיה זייפו מספר בקשות שכאלו במהלך שנת 2021.

לפי הטענות, כדי להתחזות לפקידי ממשל או לשוטרים, ההאקרים פגעו באבטחת שרתי הדואר האלקטרוני של גורמי אכיפת חוק במספר מדינות. הדבר איפשר להם לשלוח בקשות משפטיות לקבלת מידע, שנראו לגיטימיות במיוחד. כאמור, בחלק מהמקרים הם השתמשו גם בהזמנות עם חתימות רשמיות מזויפות.

במקרה של אפל, בקשות משפטיות מועברות באמצעות דואר אלקטרוני. בהנחיות החברה נכתב כי נלקח בחשבון שאלו "ישודרו מכתובת המייל הרשמית של הסוכנות המבקשת".

מטא מצידה טוענת כי היא בוחנת את כל בקשות הנתונים, כדי לאמת את חוקיותן, ומשתמשת במערכות לאימות בקשות ולאיתור שימוש לרעה.

דובר פייסבוק, אנדי סטון, אמר לתקשורת: "אנו חוסמים חשבונות שנפרצו מלהגיש בקשות, ועובדים עם רשויות אכיפת החוק כדי להגיב לאירועים הכוללים חשד לבקשות הונאה, כפי שעשינו במקרה זה".