ارائه اطلاعات کاربران توسط اپل و متا به هکر‌ها، تنها با ثبت درخواست‌های قانونی جعلی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir apple meta gave user data to hackers who forged legal requests 1
بلومبرگ در گزارشی گفت، به گفته سه نفر از افراد مطلع، Apple Inc. و شرکت مادر فیسبوک Meta Platforms Inc. ، داده‌های مشتریان خود را در اختیار هکر‌هایی قرار دادند که خود را به عنوان مقامات مجری قانون جا زده‌اند.

اپل و متا در اواسط سال ۲۰۲۱ در پاسخ به «درخواست‌های داده اضطراری» جعلی، جزئیات اولیه مشترکین، مانند آدرس، شماره تلفن و آدرس IP مشتری را ارائه کردند. معمولاً چنین درخواست‌هایی فقط با حکم تفتیش یا احضاریه با امضای قاضی ارائه می‌شود. با این حال، درخواست‌های اضطراری نیازی به حکم قطعی دادگاه ندارند.

مجموعه Snap Inc یک درخواست قانونی جعلی از همان هکر‌ها دریافت کرد، اما مشخص نیست که آیا این شرکت در پاسخ به آن داده‌هایی ارائه کرده است یا خیر. همچنین مشخص نیست که چند بار شرکت‌ها داده‌هایی را که به دلیل درخواست‌های قانونی جعلی درخواست شده‌، ارائه کرده‌اند.

محققان امنیت سایبری گمان می‌کنند که برخی از هکر‌هایی که درخواست‌های جعلی را ارسال می‌کنند، افراد زیر سن قانونی هستند که در بریتانیا و ایالات متحده قرار دارند و طبق گفته‌ها، یکی از خردسالان نیز مغز متفکر گروه جنایات سایبری Lapsus$ است که شرکت‌های مایکروسافت، شرکت سامسونگ الکترونیکز و شرکت Nvidia Corp. را هک کرده‌اند. پلیس شهر لندن اخیراً هفت نفر را در ارتباط با تحقیقات درباره گروه هکری Lapsus$ دستگیر کرده است. اما بررسی‌ها هنوز ادامه دارد.

یکی از نمایندگان اپل، اخبار بلومبرگ را به بخشی از دستورالعمل‌های اجرای قانون خود ارجاع داد.

دستورالعمل‌هایی که اپل به آن‌ها ارجاع می‌دهد می‌گوید که با ناظر دولت یا مأمور اجرای قانون که درخواست را ارسال کرده است، ممکن است با او تماس گرفته شود و از اپل خواسته شود که قانونی بودن درخواست اضطراری را تأیید کند.

اندی استون، سخنگوی متا در بیانیه‌ای گفت: «ما هر درخواست داده را برای کافی بودن ادعا‌های قانونی بررسی می‌کنیم و از سیستم‌ها و فرآیند‌های پیشرفته برای تأیید درخواست‌های مجری قانون و کشف سواستفاده، استفاده می‌کنیم. ما حساب‌های در معرض خطر شناخته شده را از ثبت درخواست مسدود می‌کنیم و با مجریان قانون برای پاسخگویی به حوادث مربوط به درخواست‌های مشکوک به تقلب کار می‌کنیم، همانطور که تا کنون ور این مورد عمل کرده‌ایم. »

اسنپ ​​هیچ اظهارنظری فوری در مورد این پرونده نداشت، اما سخنگوی این شرکت گفت که این شرکت تدابیری برای شناسایی درخواست‌های تقلبی از سوی مجری قانون دارد.

مجریان قانون در سراسر جهان به‌عنوان بخشی از تحقیقات جنایی، به‌طور معمول از پلتفرم‌های رسانه‌های اجتماعی اطلاعاتی درباره کاربران می‌خواهند. در ایالات متحده، چنین درخواست‌هایی معمولاً شامل یک دستور امضا شده از یک قاضی است. درخواست‌های اضطراری برای استفاده در موارد خطر قریب الوقوع در نظر گرفته شده است و نیازی به امضای قاضی ندارد.

به گفته سه نفری که در تحقیقات شرکت دارند، گمان می‌رود که هکر‌های وابسته به یک گروه جرایم سایبری موسوم به "Recursion Team" پشت برخی از درخواست‌های قانونی جعلی قرار داشته باشند که در طول سال ۲۰۲۱ برای شرکت‌ها ارسال شده است.

گفته می‌شود که تیم Recursion دیگر فعال نیست، اما بسیاری از اعضای آن به انجام هک‌ها با نام‌های مختلف از جمله به عنوان بخشی از گروه Lapsus$ ادامه می‌دهند.

به گفته یکی از افراد آشنا در تحقیقات، اطلاعات به دست آمده توسط هکر‌ها با استفاده از درخواست‌های قانونی جعلی برای فعال کردن کمپین‌های آزار و اذیت استفاده شده است. این سه نفر گفتند که ممکن است در درجه اول برای تسهیل طرح‌های کلاهبرداری مالی نیز استفاده شود. با دانستن اطلاعات قربانی، هکر‌ها می‌توانند از آن برای کمک به تلاش برای دور زدن امنیت حساب‌ها استفاده کنند.

بلومبرگ به منظور محافظت از هویت افرادی که هدف قرار گرفته‌اند، برخی از جزئیات خاص رویداد‌ها را حذف کرده است.

به گفته دو نفر از افراد، درخواست‌های قانونی تقلبی بخشی از یک کمپین چند ماهه است که بسیاری از شرکت‌های فناوری را هدف قرار داده و از ژانویه ۲۰۲۱ آغاز شده است. به گفته این سه نفر و یک فرد دیگر که این موضوع را بررسی می‌کنند، تصور می‌شود که درخواست‌های قانونی جعلی از طریق دامنه‌های‌ایمیل هک شده متعلق به سازمان‌های مجری قانون در چندین کشور ارسال شده است.

درخواست‌های جعلی بطوری طراحی شده‌اند که مشروع و قانونی به نظر برسند. به گفته دو نفر از این افراد، در برخی موارد، این اسناد شامل امضای جعلی یا مأموران جعلی مجری قانون بوده است. به گفته یکی از افراد، با به خطر انداختن سیستم های‌ایمیل مجری قانون، هکر‌ها ممکن است درخواست‌های قانونی و مشروع پیدا کرده و از آن‌ها به عنوان الگویی برای ایجاد موارد مجعول استفاده کرده باشند.

آلیسون نیکسون، مدیر ارشد تحقیقاتی در شرکت سایبری واحد 221B، گفت: «در هر موردی که این شرکت‌ها به هم ریختند، در هسته اصلی آن شخصی وجود داشته که تلاش کرده کار درست را انجام دهد. من نمی‌توانم به شما بگویم چند بار تیم‌های اعتماد و ایمنی بی‌سر و صدا جان انسان‌ها را نجات داده‌اند، زیرا کارمندان از انعطاف قانونی برخوردار بودند تا به سرعت به وضعیت غم‌انگیزی که برای یک کاربر در حال رخ دادن است پاسخ دهند".


روز سه‌شنبه،  Krebs on Security گزارش داد که هکر‌ها درخواست داده‌های اضطراری را برای به دست آوردن اطلاعات از پلتفرم رسانه اجتماعی Discord جعل کرده‌اند. دیسکورد در بیانیه‌ای به بلومبرگ تأیید کرد که یک درخواست قانونی جعلی را نیز دریافت و بررسی کرده است.

دیسکورد در بیانیه‌ای گفت: «ما این درخواست‌ها را با بررسی اینکه آیا از یک منبع واقعی می‌آیند، تأیید می‌کنیم و در این مورد این کار را انجام دادیم. در حالی که روند راستی‌آزمایی ما تأیید کرد که حساب مجری قانون خود قانونی است، بعداً متوجه شدیم که توسط یک عامل مخرب به خطر افتاده است. ما از آن زمان تحقیقاتی در مورد این فعالیت غیرقانونی انجام داده‌ایم و به مجریان قانون در مورد حساب‌ایمیل در معرض خطرشان اطلاعرسانی کرده‌ایم».

اپل و متا هر دو اطلاعات مربوط به انطباق خود با درخواست‌های داده اضطراری را منتشر می‌کنند. از جولای تا دسامبر ۲۰۲۰، اپل ۱۱۶۲ درخواست اضطراری از ۲۹ کشور دریافت کرده است. طبق گزارش خود، اپل در پاسخ به ۹۳ درصد از این درخواست‌ها، داده‌هایی را ارائه کرده است.

متا گفت که ۲۱۷۰۰ درخواست اضطراری را از ژانویه تا ژوئن ۲۰۲۱ در سطح جهان دریافت کرده و در پاسخ به ۷۷ درصد از درخواست‌ها، داده‌هایی را ارائه کرده است.

متا در وب‌سایت خود می‌گوید: "در مواقع اضطراری، مجری قانون ممکن است درخواست‌هایی را بدون طی مراحل قانونی ارسال کند. بر اساس شرایط، ممکن است به طور داوطلبانه اطلاعاتی را در اختیار مجریان قانون قرار دهیم که دلیلی با حسن نیت برای این باور داشته باشیم که این موضوع مستلزم خطر قریب‌الوقوع صدمات جسمی جدی یا مرگ افراد است".

سیستم‌های درخواست داده از شرکت‌ها مجموعه‌ای از آدرس های‌ایمیل مختلف و پورتال‌های شرکت است. انجام درخواست‌های قانونی می‌تواند پیچیده باشد، زیرا ده‌ها هزار سازمان مجری قانون مختلف، از ادارات پلیس کوچک گرفته تا آژانس‌های فدرال، در سراسر جهان وجود دارند. حوزه‌های قضایی مختلف نیز، قوانین متفاوتی در مورد درخواست و انتشار داده‌های کاربر دارند.

جرد در یقیان، مدیر شرکت امنیت سایبری Recorded Future Inc. و مدیر سابق برنامه سایبری در وزارت امنیت داخلی، گفت: "هیچ سیستم یا ساختار متمرکزی برای ارسال این موارد وجود ندارد. هر آژانس به طور متفاوتی با آن‌ها برخورد می‌کند".

در یقیان گفت که شرکت‌هایی مانند متا و اسنپ پورتال‌های خود را برای مجریان قانون جهت ارسال درخواست‌های قانونی راه‌اندازی می‌کنند، اما همچنان درخواست‌ها را از طریق‌ایمیل می‌پذیرند و درخواست‌ها را ۲۴ ساعته نظارت و بررسی می‌کنند.

طبق دستورالعمل‌های قانونی اپل، اپل درخواست‌های قانونی برای داده‌های کاربر در آدرس‌ایمیل apple.com را می‌پذیرد، «به شرطی که از آدرس‌ایمیل رسمی آژانس درخواست‌کننده مخابره شود».

به خطر انداختن دامنه های‌ایمیل مجریان قانون در سراسر جهان در برخی موارد نسبتاً ساده است، زیرا اطلاعات ورود به سیستم این حساب‌ها برای فروش در بازار‌های جنایی آنلاین موجود است.

گنه یو، مدیر اجرایی شرکت امنیت سایبری Resecurity، Inc می‌گوید: "فروشگاه‌های زیرزمینی دارک وب حاوی حساب‌های‌ ایمیل در معرض خطر سازمان‌های مجری قانون هستند که می‌توانند با کوکی‌ها و ابرداده‌های پیوست شده با قیمتی بین ۱۰ تا ۵۰ دلار فروخته شوند".

یو گفت که چندین سازمان مجری قانون در سال گذشته در نتیجه آسیب‌پذیری‌های ناشناخته قبلی در سرورهای‌ایمیل مایکروسافت اکسچنج مورد هدف قرار گرفتند که «به نفوذ بیشتر منجر شده است».

نیکسون از واحد 221B یادآور شد که یافتن راه حل بالقوه برای استفاده از درخواست‌های قانونی جعلی ارسال شده از سیستم های‌ایمیل مجری قانون هک شده دشوار خواهد بود.

او گفت: "وضعیت بسیار پیچیده است. رفع آن به سادگی بستن جریان داده نیست. عوامل زیادی وجود دارد که ما باید فراتر از به حداکثر رساندن حریم خصوصی، آن‌ها را در نظر بگیریم".

برچسب ها: بلومبرگ, Bloomberg, Snap, Samsung Electronics, law enforcement, داده‌, apple.com, Recorded Future, Recursion, Recursion Team, سامسونگ الکترونیکز, Lapsus$, Meta Platforms, Apple Inc, مایکروسافت اکسچنج, ان ویدیا, META, متا, NVIDIA, دارک وب, Discord, Facebook, Microsoft, فیسبوک, Apple, اپل, Samsung, Cyber Security, مایکروسافت, هکر, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ