Wyłudzanie danych w ten sposób miało prawdopodobnie miejsce od 2020 do połowy 2021 roku, ale sprawa wyszła na jaw dopiero teraz. Warto o niej wspomnieć, ponieważ dobitnie pokazuje, jak wadliwe są systemy ochrony danych użytkowników, nawet w tak dużych firmach jak Facebook czy Apple (Meta).
Hakerzy udawali policjantów
By otrzymać poufne dane drogą oficjalną hakerzy zastosowali dość ciekawy fortel. Skontaktowali się z podmiotami, od których chcieli przejąć te informacje, podali się za policjantów „w nagłej potrzebie”, powołali się na „specjalną opcję” dotyczącą sytuacji nagłych i co najdziwniejsze otrzymali wszystko co chcieli. Procedury weryfikacji w ramach korporacji nie zadziałały, a firmy dały się po prostu nabrać i uległy zmyślnej perswazji – ustalił serwis Bloomberg.
W normalnej sytuacji, by otrzymać dane osobowe użytkowników od gigantów takich jak Facebook, potrzebna jest decyzja sądu lub prokuratury. Czasami jednak zdarza się, że mamy do czynienia z sytuacją nagłą na przykład podejrzenie organizacji jakichś działań terrorystycznych, gdzie liczy się w zasadzie każda minuta. Stosowana jest wówczas procedura uproszczona w ramach której dane są natychmiast przekazywane odpowiednim, wnioskującym o nie organom ścigania. W tym przypadku wnioskowali jednak nie policjanci, a zwykli oszuści, czego niestety nie sprawdzono, narażając na atak hakerski nieświadomych i niewinnych użytkowników.
Giganci dość często udostępniają dane użytkowników
Przy okazji Bloomberg ustalił, że przekazywanie danych policji jest dosyć często stosowaną procedurą. Przykładowo w przypadku Apple od lipca do grudnia 2020 roku na 1162 prośby o awaryjne udostępnienie danych w aż 93 proc. Przypadków zostały one udostępnione wnioskodawcom.
Facebook był nieco bardziej ostrożny, gdyż na 21700 zgłoszeń w pierwszej połowie 2021 roku dane zostały przekazane policji w około 77% przypadków. Warto tu jednak odnotować, że liczba zgłoszeń jest tu tak duża, że z pewnością trudno wszystkie zweryfikować właściwie, co potęguje ryzyko pomyłki.
Z ustaleń Bloomberga wynika, że za kradzież danych w przypadku obu firm odpowiada organizacja Harcerska Lapsus$. Dzięki udawaniu policjantów hakerzy byli wstanie wyłudzić takie dane jak adresy, numery telefonów czy adresy IP. Pozyskane od Apple i Facebooka dane miały być później wykorzystywane do nękania ich właścicieli oraz do przeprowadzania ataków, których efektem były przestępstwa finansowe.
Źródło: Bloomberg
KOMENTARZE (0) SKOMENTUJ ZOBACZ WSZYSTKIE