Hekerji so pretentali Apple in Meto v predajo podatkov o uporabnikih

Omenjena tehnološka velikana sta sredi leta 2021 v odgovor na ponarejene »nujne zahtevke o podatkih« nevede posredovala hekerjem osnovne podatke o uporabnikih, kot so naslovi strank, telefonske številke in IP naslove. Podjetja sicer običajno takšnim zahtevam ugodijo le z nalogom za preiskavo ali sodnim pozivom, ki ga podpiše sodnik, vendar za nujne zahtevke ni potreben sodni nalog.

Kibernetska varnost

Raziskovalci kibernetske varnosti sumijo, da so nekateri od hekerjev, ki so poslali ponarejene zahtevke, mladoletniki, ki se nahajajo v Združenem kraljestvu in ZDA. Eden od mladoletnikov naj bi bil tudi vodja kibernetske kriminalne skupine Lapsus$, ki je med drugim vdrla v podjetja Microsoft, Samsung Electronics in Nvidia. Londonska policija je nedavno aretirala sedem oseb v povezavi s preiskavo hekerske skupine Lapsus$, preiskava sicer še poteka.

V smernicah družbe Apple je navedeno, da se lahko vzpostavi stik z nadzornikom vlade ali organa kazenskega pregona, ki je predložil zahtevek, »in se ga zaprosi, da Applu potrdi, da je bil zahtevek za nujne primere zakonit«.

Organi pregona po vsem svetu v okviru kazenskih preiskav od platform družbenih medijev sicer rutinsko zahtevajo informacije o uporabnikih. V ZDA takšne zahteve običajno vključujejo podpisano odredbo sodnika. Nujne zahteve so namenjene uporabi v primerih neposredne nevarnosti in zanje ni potreben podpis sodnika.

Informacije, ki so jih hekerji pridobili s ponarejenimi zahtevki, so bile uporabljene za kampanje nadlegovanja, je po navedbah Bloomberga pojasnil eden od ljudi, seznanjenih s preiskavo. Tri osebe so povedale, da se morda uporabljajo predvsem za lažje izvajanje shem finančnih goljufij. Ker so hekerji poznali podatke žrtve, so si z njimi lahko pomagali pri poskusu vdora v račun.

Oseba, ki je naredila napako, je poskušala ravnati prav

Goljufivi zahtevki so del večmesečne kampanje, ki je bila usmerjena v številna tehnološka podjetja in se je po navedbah dveh oseb začela že januarja 2021. Zahtevki naj bi bili poslani prek vdrtih e-poštnih domen, ki pripadajo organom pregona v več državah, na videz pa so bili povsem legitimni. V nekaterih primerih so dokumenti vsebovali ponarejene podpise resničnih ali izmišljenih uslužbencev organov kazenskega pregona, sta po navedbi Bloomberga dejali dve osebi.

»V vsakem primeru, ko so ta podjetja naredila napako, je bila v jedru oseba, ki je poskušala narediti pravo stvar,« je dejala Allison Nixon, vodja raziskav v kibernetskem podjetju Unit 221B. »Ne morem povedati, kolikokrat so ekipe za zaupanje in varnost tiho reševale življenja, ker so zaposleni imeli pravno prožnost, da so se hitro odzvali na tragično situacijo uporabnika.«

Apple in Meta sicer objavljata podatke o izpolnjevanju tovrstnih zahtevkov. Apple je od julija do decembra 2020 prejel 1162 nujnih zahtevkov o podatkih uporabnikov iz 29 držav. V skladu s svojim poročilom je Apple zagotovil podatke v odgovor na 93 odstotkov teh zahtev. Meta je navedla, da je od januarja do junija 2021 po vsem svetu prejela 21.700 nujnih zahtevkov in v odgovor na 77 odstotkov zahtevkov zagotovila nekatere podatke.

Rešitev ni preprosta

Sistemi za zahtevanje podatkov od podjetij so splet različnih e-poštnih naslovov in portalov podjetij. Izpolnjevanje pravnih zahtev je lahko zapleteno, saj je po svetu več deset tisoč različnih organov pregona, od majhnih policijskih oddelkov do zveznih agencij. Različne jurisdikcije imajo različne zakone o zahtevah in objavi podatkov o uporabnikih.

»Ni enotnega sistema ali centraliziranega sistema za predložitev teh stvari,« je dejal Jared Der-Yeghiayan, direktor v podjetju za kibernetsko varnost Recorded Future in nekdanji vodja kibernetskega programa na ameriškem ministrstvu za domovinsko varnost. »Vsaka agencija jih obravnava drugače.«

Kompromitiranje e-poštnih domen organov pregona po vsem svetu je v nekaterih primerih razmeroma preprosto, navaja Bloomberg, saj so prijavni podatki za te račune na voljo za prodajo na spletnih kriminalnih tržnicah. »Temne spletne podzemne tržnice vsebujejo vdrte e-poštne račune organov pregona, ki jih je mogoče prodati za od 10 do 50 dolarjev,« je dejal Gene Yoo, glavni izvršni direktor podjetja za kibernetsko varnost Resecurity.

Morebitno rešitev za uporabo ponarejenih pravnih zahtevkov, poslanih iz vdrtega sistema elektronske pošte organov pregona, bo težko najti, je dejala Nixonova iz podjetja Unit 221B in dodala: »Položaj je zelo zapleten. Rešitev ni tako preprosta, kot da bi zaprli pretok podatkov. Upoštevati moramo veliko drugih dejavnikov, ne le zagotavljanje čim večje zasebnosti.«