曝黑客僞裝成執法官員向蘋果、Meta索要用戶數據,黑客僞造了“緊急數據請求”,無需法庭批准,蘋果和Meta就需要提供數據。曝黑客僞裝成執法官員向蘋果、Meta索要用戶數據。
曝黑客僞裝成執法官員向蘋果、Meta索要用戶數據1
據知情人士透露,蘋果和Meta在2021年年中迴應了僞造的“緊急數據請求”,向黑客提供了用戶的基本信息,如客戶的地址、電話號碼和IP地址。
僞造的“緊急數據請求”是由多個國家/地區的執法人員的被黑電子郵件域發送的,並且經過精心設計,帶有真實或虛構執法人員的僞造簽名,看起來合法。
據彭博社報道,一個名爲“Recursion Team”的網絡犯罪組織與2021年發送給多家公司的一些僞造的法律請求有關。一些黑客被認爲是美國和英國的未成年人,並且至少其中一名未成年人還參與了攻擊微軟、三星和英偉達。
據上述知情人士透露,通常情況下,此類請求會獲得一份搜查令或由法官簽署的.傳票,但緊急請求不需要法院命令。Snap也收到了來自同一羣黑客的僞造法律請求,但不知道它是否提供了用戶數據。
蘋果表示需參照公司的法律指引,Meta發言人表示將阻止已知的被盜賬戶發出請求,並與執法部門合作對涉及可疑欺詐性請求的事件作出迴應。
曝黑客僞裝成執法官員向蘋果、Meta索要用戶數據2
據彭博,有三名知情人士表示,蘋果和Facebook母公司Meta在去年被黑客套取了用戶數據。
2021年中,由於黑客盜取執法官員賬號僞裝成了執法人員,蘋果和Meta向其提供了地址、電話號碼和IP地址等用戶詳細信息。據悉,執法機構獲取用戶信息往往需要法院批准的搜查令或傳票,但黑客僞造了“緊急數據請求”,在“緊急數據請求”下,無需法庭批准,蘋果和Meta就需要提供數據。
有網友爆料稱,使用這種方法的黑客會向公司發送虛假請求,並聲稱如果他們請求的數據不能立即提供,無辜者將遭受重大痛苦或死亡。
目前知情人士尚不清楚移交了多少數據。
彭博社報道稱,蘋果在2020年7月至12月期間收到了來自29個國家的1162份緊急請求,其中93%的請求已提交數據。Meta2021年1月至6月收到了21700個急診科的數據請求,77%的請求已提交數據。
多年來,有報道稱劍橋分析公司(Cambridge Analytica)獲得了該平臺數千萬用戶的數據,Facebook在處理用戶數據方面一直受到審查。
據報道,黑客可能與網絡犯罪組織Recursion Team或Lapsus$有關。南美黑客組織Lapsus$今年早些時候曾對微軟、Okta、英偉達和沃達豐進行黑客攻擊。
國會山報指出,Meta發言人安迪·斯通表示:“我們審查每一個數據請求的法律充分性,並使用先進的系統和流程來驗證執法請求和檢測濫用。我們阻止已知的泄露賬戶提出請求,並與執法部門合作,對涉及可疑欺詐請求的事件做出迴應,就像我們在本案中所做的那樣。”。
蘋果公司的一位發言人指出,可能會聯繫尋求客戶數據的執法機構,以確認該請求是合法的。
曝黑客僞裝成執法官員向蘋果、Meta索要用戶數據3
美國彭博社30日援引三位知情人士的話報道稱,蘋果公司以及Facebook母公司Meta去年將用戶數據交給了僞裝成執法官員的黑客。
消息人士稱,這兩家公司在2021年中期向黑客提供了用戶的地址、電話號碼和IP地址等詳細信息。黑客是通過僞造的“緊急數據請求”獲取這些信息的,這種請求不像一般的逮捕令或傳票那樣需要法院批准。目前還不清楚有多少用戶的數據被泄露。
彭博社指出,蘋果公司在2020年7月至12月期間收到了來自29個國家的1162個“緊急請求”,並對其中93%作出迴應。Meta公司在2021年1月到6月收到了2.17萬份“緊急請求”,並對其中77%作出迴應。
自2018年劍橋分析公司被曝獲得了數千萬Facebook用戶的數據後,Facebook一直因其處理用戶數據的方式而受到密切關注。
在美國《國會山報》獲得的一份聲明中,Meta發言人安迪 斯通表示:“我們今後會檢查每一個數據請求是否合法,並使用先進的系統和流程進行驗證,以發現濫用行爲。”
蘋果公司的一位發言人告訴《國會山報》,根據指導方針,該公司可能會聯繫尋求客戶數據的執法機構,以確認此類請求是否合法。
指導方針寫道:“政府或執法人員(向公司)提交政府和執法信息緊急請求時,應在請求中提供主管的聯繫信息。”
三位參與調查的人士告訴彭博社,涉事黑客可能與網絡犯罪集團“遞歸團隊”(Recursion Team)或Lapsus$有關。
南美黑客組織Lapsus$今年早些時候曾對微軟、Okta、英偉達和沃達豐等公司發動網絡攻擊。
消息人士告訴彭博社,這些用戶數據可能被用於參與金融欺詐計劃。一位知情人士稱,這些信息已被用於騷擾活動。
網絡安全網站Krebs on Security週二稱,黑客現在正在非法進入警方的電子郵件系統,發送虛假的緊急數據請求,以獲取私人數據。
該網站稱,使用這種方法的黑客會向科技公司發送虛假請求,聲稱如果他們要求的數據不立即提供,無辜的人將遭受重大痛苦或死亡。