A Apple, Facebook e Discord entregaram dados de usuários a hackers se passando por agentes da lei (Via Bloomberg). As demandas, que foram forjadas para parecerem solicitações legais autênticas, supostamente vieram de contas de e-mail legítimas que foram “comprometidas”.
Tanto o Facebook quanto a Apple forneceram “detalhes básicos do assinante, como endereço do cliente, número de telefone e endereço IP”. O Discord forneceu “o histórico de endereços da Internet das contas do Discord vinculadas a um número de telefone específico”. Os hackers também atacaram o Snap, embora não esteja claro se a empresa realmente entregou os dados solicitados.
Não é incomum que empresas como Apple e Facebook entreguem dados para a aplicação da lei, e essas empresas têm equipes dedicadas para responder a essas solicitações. Normalmente, essas solicitações são acompanhadas de uma ordem judicial, mas há casos de “emergência” em que a aplicação da lei solicita dados sem uma ordem, como quando se acredita que a vida de alguém está em perigo.
Nesse caso, os hackers exploraram essa tática para acessar informações pessoais sobre alvos específicos para “facilitar esquemas de fraude financeira”. Usando e-mails hackeados vinculados a funcionários legítimos da lei, eles conseguiram enganar com sucesso as empresas para que entregassem os dados.
O porta-voz da Meta, Andy Stone, disse a Bloomberg que a empresa possui salvaguardas para verificar solicitações legais e detectar abusos. “Nós impedimos que contas comprometidas conhecidas façam solicitações e trabalhamos com as autoridades para responder a incidentes envolvendo solicitações fraudulentas suspeitas, como fizemos neste caso”, disse Stone.
A Apple e a Snap também apontaram as diretrizes da empresa, dizendo que têm políticas para verificar a legitimidade das solicitações de dados do usuário. Mas essas salvaguardas podem ficar aquém se as solicitações parecerem ser de e-mails associados a agências legítimas de aplicação da lei. O Discord também reagiu dizendo:
“Podemos confirmar que o Discord recebeu solicitações de um domínio legítimo de aplicação da lei e atendeu às solicitações de acordo com nossas políticas. Verificamos essas solicitações verificando se elas vêm de uma fonte genuína e fizemos isso neste caso. Embora nosso processo de verificação tenha confirmado que a própria conta de aplicação da lei era legítima, mais tarde descobrimos que ela havia sido comprometida por um agente mal-intencionado. Desde então, conduzimos uma investigação sobre essa atividade ilegal e notificamos as autoridades sobre a conta de e-mail comprometida.”
Curiosamente, pesquisadores de segurança supostamente vincularam algumas das pessoas envolvidas nesse esquema a outro grupo de hackers de alto perfil: O Lapsus$, cujos membros supostamente hackearam a Microsoft e a Okta. Segundo a Bloomberg, uma pessoa envolvida em forjar os pedidos também é “acreditada ser a mente por trás do grupo de crimes cibernéticos Lapsus$”.
