Apple e Meta enviaram dados de usuários a hackers que fingiram ser policiais
Big techs compartilharam dados sigilosos após receberem falsas solicitações de emergência; notificações são comumente enviadas por autoridades
Big techs compartilharam dados sigilosos após receberem falsas solicitações de emergência; notificações são comumente enviadas por autoridades
Dados sigilosos de usuários de serviços da Apple e da Meta (ex-Facebook) foram enviados para hackers em meados de 2021. As informações, que incluíam endereço e telefone de clientes, foram compartilhadas pelas próprias empresas em resposta a supostas solicitações de emergência feitas pela polícia — o problema é que os pedidos eram falsos.
O caso foi revelado nesta quarta-feira (30) pela Bloomberg. De acordo com o relatório, Apple e Meta não foram as únicas a receberem as solicitações. Aparentemente, a Snap (responsável pelo Snapchat) teria sido alvo dos hackers, mas não está claro se a empresa chegou a compartilhar informações de seus usuários. O Discord também respondeu a uma dessas solicitações.
Pedidos legais de dados neste meio são mais comuns do que muitos podem imaginar — eles costumam acontecer quando há a investigação criminal de alguém que faça uso das plataformas em questão.
Brian Krebs, ex-repórter do Washington Post e especialista em segurança digital, explicou em seu site que, nos Estados Unidos, esse tipo de solicitação vem geralmente acompanhado de um mandado de busca ou intimação assinada por um juiz. Entretanto, as solicitações emergenciais dispensam esse documento por normalmente se tratarem de situações de vida ou morte.
“Nesse cenário, a empresa receptora se vê presa entre dois resultados desagradáveis: não cumprir imediatamente uma EDR (sigla em inglês para ‘Solicitação de Dados de Emergência’) — e potencialmente ter o sangue de alguém em suas mãos — ou possivelmente vazar um registro de cliente para a pessoa errada.”
Krebs diz ainda que como não há um mecanismo padrão para essa solicitação entre as diversas jurisdições policiais (sendo 18 mil delas apenas nos EUA), o trabalho dos hackers acaba sendo facilitado: “Tudo o que os hackers precisam para ter sucesso é o acesso ilícito a uma única conta de e-mail policial”, conclui.
O mecanismo se dá primeiro com a invasão de sistemas governamentais. Ao terem acesso a e-mails de autoridades, os hackers se fazem passar por policiais para intimar as empresas e conseguirem as informações confidenciais associadas a seus clientes.
Como aponta o Verge, há dados de acesso a e-mails governamentais à venda online. As autoridades ouvidas pela Bloomberg confirmam ainda que os invasores fizeram ataques a sistemas em diversos países no último ano.
Assim como noticiamos recentemente em relação ao grupo Lapsus$, os indícios levam a crer que hackers adolescentes estão por trás das falsas solicitações feitas à Apple e à Meta. Como ainda não houve reinvindicação de autoria, também é possível que outro grupo — o Recursion Team, que já se desfez — esteja envolvidos neste caso.
O grupo era liderado por um jovem de 14 anos do Reino Unido. No ano passado, uma publicação do adolescente em um fórum de crimes cibernéticos anunciava “Serviço de intimação”, que de acordo com a descrição do post oferecia “dados de aplicação da lei de qualquer serviço”.
Ao Verge, o diretor de políticas e comunicações da Meta, Andy Stone, disse que a empresa revisa todas as solicitações de dados feitas por autoridades, utilizando “sistemas e processos avançados” para validá-las.
“Nós impedimos que contas comprometidas conhecidas façam solicitações e trabalhamos com as autoridades para responder a incidentes envolvendo solicitações fraudulentas suspeitas, como fizemos neste caso”, explicou Stone.
Já a Apple não emitiu um comunicado específico para o caso, mas compartilhou suas diretrizes de aplicação da lei que indicam como a empresa procede em casos de solicitações da Justiça:
“Se um governo ou agência de aplicação da lei buscar dados do cliente em resposta a uma solicitação de informações de emergência do governo e da lei, um supervisor do governo ou agente da lei que enviou a solicitação de informações de emergência do governo e da aplicação da lei pode ser contatado e solicitado a confirmar à Apple que a solicitação de emergência era legítima.”
Leia | O que é Engenharia Social?