Ανήλικοι χάκερς που προσποιούμενοι ότι είναι αξιωματούχοι αστυνομικοί κατάφεραν να εξαπατήσουν δύο από τις μεγαλύτερες εταιρείες του πλανήτη, Apple και Meta, να παραδώσουν προσωπικά δεδομένα πελατών τους.
Σύμφωνα με δημοσίευμα του Bloomberg, « πίσω από τα πλαστά νομικά αιτήματα κρύβονται χάκερς που συνδέονται με μια εγκληματική ομάδα στον κυβερνοχώρο, γνωστή ως “Recursion Team”». Κάποιοι από τους ανήλικους χάκερς πιστεύεται πως βρίσκονται στο Ηνωμένο Βασίλειο και τις ΗΠΑ, ενώ ένας από αυτούς ίσως είναι ο εγκέφαλος της ομάδας που χακάρισε τη Microsoft, τη Samsung και τη Nvidia.
Πώς έγινε η εξαπάτηση
Οι χάκερς απέστειλαν «αιτήματα δεδομένων έκτακτης ανάγκης» για να αποσπάσουν προσωπικά δεδομένα και πληροφορίες πελατών ή συνδρομητών από την Apple και τη μητρική εταιρεία του Facebook. Αν και ένα τέτοιο αίτημα απαιτεί συνήθως δικαστική απόφαση, η διαδικασία αυτή δεν ακολουθείται για τα λεγόμενα αιτήματα «έκτακτης ανάγκης» με αποτέλεσμα σε αρκετές περιπτώσεις οι εταιρείες να παραδώσουν προσωπικά δεδομένα πελατών.
Έχοντας στα χέρια τους δεδομένα όπως διευθύνσεις συνδρομητών, τηλεφωνικούς αριθμούς και διευθύνσεις IP, οι hackers εκβίαζαν τα θύματα τους ή τα εξαπατούσαν αποσπώντας χρηματικά ποσά.
Από τον Ιούλιο έως τον Δεκέμβριο του 2020, η Apple έλαβε 1.162 αιτήματα έκτακτης ανάγκης και παραχώρησε δεδομένα πελατών της στο 93% αυτών των αιτημάτων. Το Facebook, από την άλλη πλευρά, έλαβε 21.700 αιτήματα έκτακτης ανάγκης από τον Ιανουάριο έως τον Ιούνιο του 2021 και απάντησε στο 77% των αιτημάτων.
Τι λένε οι δύο εταιρείες
Ο εκπρόσωπος του Facebook Andy Stone δήλωσε στην DailyMail.com: «Ελέγχουμε ότι κάθε αίτημα δεδομένων ευσταθεί σε νομικό επίπεδο και χρησιμοποιούμε προηγμένα συστήματα και διαδικασίες για την επικύρωση των αιτημάτων από τις αρχές ώστε να εντοπίσουμε τυχόν καταχρήσεις. Επίσης, αποκλείουμε γνωστούς παραβιασμένους λογαριασμούς από το να έχουν τη δυνατότητα να υποβάλλουν αιτήματα και συνεργαζόμαστε με τις αρχές επιβολής του νόμου για να ανταποκρινόμαστε σε περιστατικά που αφορούν ύποπτα ή δόλια αιτήματα όπως κάναμε και σε αυτήν την περίπτωση».
Ένας εκπρόσωπος της Apple παρέπεμψε την DailyMail.com στις οδηγίες της εταιρείας που αφορούν τα αιτήματα δεδομένων από τις αρχές επιβολής του νόμου. Στις οδηγίες αναφέρεται ότι η εταιρεία μπορεί να επικοινωνήσει με τον ανώτερο αξιωματικό ενός αστυνομικού που υποβάλλει το αίτημα «και να του ζητήσει να επιβεβαιώσει ότι το αίτημα έκτακτης ανάγκης είναι νόμιμο». Οι περισσότερες μεγάλες εταιρείες τεχνολογίας διαθέτουν μία ειδική ιστοσελίδα για τις αρχές επιβολής του νόμου ώστε να υποβάλλουν αιτήματα δεδομένων ωστόσο δεν είναι λίγες εκείνες που εξακολουθούν να δέχονται αιτήματα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου στην περίπτωση που προέρχονται από επίσημους κρατικούς λογαριασμούς.
Όμως τέτοιοι λογαριασμοί πολλές φορές παραβιάζονται, και τα διαπιστευτήρια τους πωλούνται στο dark web έναντι μόλις $10.