APPLE E META HANNO FORNITO I DATI DEI LORO CLIENTI AD HACKER CHE SI SONO SPACCIATI PER FUNZIONARI DELLE FORZE DELL'ORDINE - A META' DEL 2021, RISPONDENDO A FINTE "RICHIESTE DI EMERGENZA", CHE NON RICHIEDONO UN MANDATO DI PERQUISIZIONE O UNA CITAZIONE FIRMATA DAL GIUDICE, LE DUE SOCIETA' HANNO CONSEGNATO INDIRIZZO, NUMERO DI TELEFONO E ALTRI DETTAGLI A QUELLI CHE CREDEVANO POLIZIOTTI...
Dagotraduzione da Bloomberg
IL CUBO DELL APPLE STORE DI NEW YORK
Apple Inc. e Meta Platforms Inc., la società madre di Facebook, hanno fornito i dati dei clienti ad hacker che si sono spacciati per funzionari delle forze dell'ordine, secondo tre persone a conoscenza della questione.
A metà del 2021, rispondendo alle finte «richieste dati di emergenza», Apple e Meta hanno fornito i dettagli di base dell'abbonato, come l'indirizzo, il numero di telefono e l'indirizzo IP del cliente. Normalmente, queste richieste vengono soddisfatte solo con un mandato di perquisizione o una citazione firmata da un giudice, secondo gli addetti ai lavori. Ma le richieste di emergenza non richiedono un ordine del tribunale.
Anche Snap Inc. ha ricevuto una richiesta legale contraffatta dagli stessi hacker, ma non è noto se la società abbia fornito dati in risposta. Inoltre, non è chiaro quante volte le società abbiano fornito dati a richieste legali contraffatte.
I ricercatori di sicurezza informatica sospettano che alcuni degli hacker che inviano le richieste contraffatte siano minori con sede nel Regno Unito e negli Stati Uniti. Si ritiene che uno dei minori sia anche la mente dietro il gruppo di criminalità informatica Lapsus$, che ha hackerato Microsoft Corp., Samsung Electronics Co. e Nvidia Corp., tra gli altri. La polizia della città di Londra ha recentemente arrestato sette persone in relazione a un'indagine sul gruppo di hacker Lapsus$; l’indagine è in corso.
Un rappresentante di Apple ha indirizzato Bloomberg News a una sezione delle sue linee guida per le forze dell'ordine.
meta il nuovo nome di facebook
Le linee guida a cui fa riferimento Apple spiegano che un supervisore del governo o un agente delle forze dell'ordine che ha presentato la richiesta «potrebbe essere contattato e gli potrebbe essere domandato di confermare ad Apple che la richiesta di emergenza era legittima».
«Esaminiamo ogni richiesta di dati per verificarne la validità legale e utilizziamo sistemi e processi avanzati per convalidare le richieste delle forze dell'ordine e rilevare gli abusi», ha affermato il portavoce di Meta Andy Stone in una nota. «Blocchiamo la possibilità agli account che sappiamo compromessi di effettuare richieste e collaboriamo con le forze dell'ordine per rispondere a incidenti che coinvolgono sospette richieste fraudolente, come abbiamo fatto in questo caso».
mark zuckerberg annuncia meta il nuovo nome di facebook
Snap non ha rilasciato commenti immediati sul caso, ma un portavoce ha affermato che la società ha adottato misure di sicurezza per rilevare richieste fraudolente da parte delle forze dell'ordine.
Le forze dell'ordine in tutto il mondo chiedono regolarmente alle piattaforme di social media informazioni sugli utenti nell'ambito delle indagini penali. Negli Stati Uniti, tali richieste di solito includono un ordine firmato da un giudice. Le richieste di emergenza sono destinate ad essere utilizzate in casi di pericolo imminente e non richiedono l'approvazione di un giudice.
Si ritiene che gli hacker affiliati a un gruppo di criminalità informatica noto come "Recursion Team" siano dietro alcune delle richieste legali contraffatte, che sono state inviate alle aziende per tutto il 2021, secondo le tre persone coinvolte nelle indagini.
Recursion Team non è più attivo, ma molti dei suoi membri continuano a effettuare hack con nomi diversi, o come parte del gruppo Lapsus$, hanno detto le persone.
Le informazioni ottenute dagli hacker utilizzando le richieste legali contraffatte sono state utilizzate per creare campagne di spam, secondo una delle persone che hanno familiarità con l'indagine. Le tre persone hanno affermato che il sistema potrebbe essere utilizzato principalmente per facilitare schemi di frode finanziaria. Conoscendo le informazioni della vittima, gli hacker potrebbero utilizzarle per tentare di aggirare la sicurezza dell'account.
Bloomberg omette alcuni dettagli specifici degli eventi al fine di proteggere le identità delle vittime.
Le richieste legali fraudolente fanno parte di una campagna durata mesi che ha preso di mira molte aziende tecnologiche ed è iniziata già nel gennaio 2021, secondo due delle persone. Si ritiene che le richieste legali contraffatte siano state inviate tramite domini di posta elettronica compromessi appartenenti alle forze dell'ordine in più paesi, secondo le tre persone e un'altra persona che indaga sulla questione.
Le richieste contraffatte sono state formulate in modo che apparissero legittime. In alcuni casi, i documenti includevano firme contraffatte di agenti delle forze dell'ordine reali o fittizi. Compromettendo i sistemi di posta elettronica delle forze dell'ordine, gli hacker potrebbero aver trovato richieste legali legittime e averle utilizzate come modello per creare falsi, secondo una delle persone.
«In ogni caso in cui queste aziende hanno sbagliato, al centro c'era una persona che cercava di fare la cosa giusta», ha affermato Allison Nixon, chief research officer presso la società informatica Unit 221B. «Non posso dirvi quante volte i team di fiducia e sicurezza hanno silenziosamente salvato vite perché i dipendenti avevano la flessibilità legale per rispondere rapidamente a una tragica situazione che si stava verificando per un utente».
Martedì, Krebs on Security ha riferito che gli hacker avevano falsificato una richiesta di dati di emergenza per ottenere informazioni dalla piattaforma di social media Discord. In una dichiarazione a Bloomberg, anche Discord ha confermato di aver soddisfatto una richiesta legale contraffatta.
«Verifichiamo queste richieste controllando che provengano da una fonte genuina, e lo abbiamo fatto in questo caso», ha affermato Discord in una nota. «Mentre il nostro processo di verifica ha confermato che l'account delle forze dell'ordine stesso era legittimo, in seguito abbiamo appreso che era stato compromesso da un attore malintenzionato. Da allora abbiamo condotto un'indagine su questa attività illegale e notificato alle forze dell'ordine l'account e-mail compromesso».
Apple e Meta pubblicano entrambi i dati sulla conformità alle richieste di dati di emergenza. Da luglio a dicembre 2020, Apple ha ricevuto 1.162 richieste di emergenza da 29 paesi. Secondo il suo rapporto, Apple ha fornito dati in risposta al 93% di tali richieste.
Meta ha affermato di aver ricevuto 21.700 richieste di emergenza da gennaio a giugno 2021 a livello globale e di aver fornito alcuni dati in risposta al 77% delle richieste.
«In caso di emergenza, le forze dell'ordine possono presentare richieste senza procedimenti legali», afferma Meta sul suo sito web. «In base alle circostanze, potremmo divulgare volontariamente informazioni alle forze dell'ordine se abbiamo un motivo in buona fede di ritenere che la questione comporti un rischio imminente di gravi lesioni fisiche o morte».
I sistemi di richiesta dati alle aziende sono un mosaico di indirizzi email e portali aziendali differenti. Soddisfare le richieste legali può essere complicato perché ci sono decine di migliaia di diverse forze dell'ordine, dai piccoli dipartimenti di polizia alle agenzie federali, in tutto il mondo. Diverse giurisdizioni hanno leggi diverse in merito alla richiesta e al rilascio dei dati degli utenti.
«Non esiste un sistema centralizzato per inviare queste cose», ha affermato Jared Der-Yeghiayan, direttore della società di sicurezza informatica Recorded Future Inc. ed ex responsabile del programma informatico presso il Dipartimento per la sicurezza interna. 1Ogni singola agenzia li gestisce in modo diverso».
Aziende come Meta e Snap gestiscono portali dedicati all’invio di richiesta legali da parte delle forze dell'ordine, ma accettano comunque richieste via e-mail e monitorano le richieste 24 ore al giorno, ha affermato Der-Yeghiayan.
Apple accetta richieste legali per i dati degli utenti a un indirizzo e-mail di apple.com, «a condizione che vengano trasmessi dall'indirizzo e-mail ufficiale dell'agenzia richiedente», secondo le linee guida legali di Apple.
In alcuni casi, compromettere i domini di posta elettronica delle forze dell'ordine in tutto il mondo è relativamente semplice, poiché le informazioni di accesso per questi account sono disponibili per la vendita sui mercati criminali online.
«I negozi clandestini del dark web contengono account e-mail compromessi delle forze dell'ordine, che potrebbero essere venduti con i cookie e i metadati allegati a un prezzo compreso tra 10 e 50 dollari", ha affermato Gene Yoo, amministratore delegato della società di sicurezza informatica Resecurity, Inc.
Yoo ha affermato che diverse forze dell'ordine sono state prese di mira lo scorso anno a causa di vulnerabilità precedentemente sconosciute nei server di posta elettronica di Microsoft Exchange, «portando a ulteriori intrusioni».
Sarà difficile trovare una potenziale soluzione all'uso di richieste legali contraffatte inviate da sistemi di posta elettronica hackerati delle forze dell'ordine, ha affermato Nixon, dell'Unità 221B.
«La situazione è molto complessa», ha detto. «Riparare non è così semplice come chiudere il flusso di dati. Ci sono molti fattori che dobbiamo considerare oltre alla semplice massimizzazione della privacy».
