首页 |  健康 |  商业 |  国际 | 

健康 科学与未来 科技 商业 生活 国际 综合

苹果和Meta将用户数据提供给黑客,后者利用伪造的法律请求

时间:2022-04-14 09:10 来源:全球加盟网


据三名知情人士透露,苹果公司和Facebook的母公司元平台公司向伪装成执法官员的黑客提供了客户数据。

苹果和meta在2021年年中针对伪造的“紧急数据请求”提供了用户的基本信息,比如客户的地址、电话号码和IP地址。

据上述知情人士透露,通常情况下,此类请求只会获得一份搜查令或由法官签署的传票。然而,紧急请求不需要法院命令。

Snap公司也收到了来自同一群黑客的伪造法律请求,但不知道该公司是否提供了数据作为回应。也不清楚这些公司有多少次在虚假法律请求的提示下提供了数据。

网络安全研究人员怀疑,一些发送伪造请求的黑客是英国美国的未成年人。知情人士称,其中一名未成年人还被认为是网络犯罪组织Lapsus$的幕后主使,该组织曾入侵微软(msft . o:行情)、三星电子(Samsung Electronics Co .)和英伟达(Nvidia Corp .)等公司。

伦敦市警方最近逮捕了7名与Lapsus黑客组织调查有关的人;调查正在进行中。苹果公司的一名代表让彭博新闻社(Bloomberg News)参考了其执法指南的一部分。苹果引用的指导方针称,提交请求的政府主管或执法人员“可能会被联系,并被要求向苹果确认紧急请求是合法的”,苹果的指导方针称。

meta发言人Andy Stone在一份声明中表示:“我们会审查每一个数据请求,以确保其是否合法,并使用先进的系统和流程来验证执法请求,并发现滥用行为。”“我们阻止已知的被盗账户发出请求,并与执法部门合作,对涉及可疑欺诈性请求的事件作出回应,就像我们在这起案件中所做的那样。”

Snap没有立即对此案发表评论,但一名发言人表示,该公司已设置了防范措施,以发现执法部门的欺诈性要求。

作为刑事调查的一部分,世界各地的执法机构经常询问社交媒体平台有关用户的信息。在美国,此类请求通常包括一份由法官签署的命令。紧急请求用于紧急危险的情况,不需要法官签字。

据参与调查的三名人士称,隶属于一个名为“递归团队”(Recursion Team)的网络犯罪集团的黑客被认为是一些伪造法律请求的幕后黑手,这些请求在2021年全年被发送给了一些公司。上述知情人士说,Recursion Team已不再活跃,但其许多成员仍在以不同的名义进行黑客活动,包括作为Lapsus$的一部分。

据一名知情人士透露,黑客利用伪造的法律请求获得的信息,已被用于发起骚扰行动。这三位知情人士说,这笔钱可能主要被用来为金融欺诈计划提供便利。通过了解受害者的信息,黑客可以利用它来帮助试图绕过账户安全。

彭博社省略了事件的一些具体细节,以保护目标的身份。据其中两名知情人士透露,这些欺诈性的法律请求是一项针对许多科技公司的长达数月的行动的一部分,该行动最早从2021年1月开始。

据上述三人和另外一名调查此事的人士说,这些伪造的法律请求据信是通过多个国家执法机构被黑客入侵的电子邮件域名发送的。伪造的请求是为了显得合法。据其中两名知情人士透露,在某些情况下,这些文件中包含了真实或虚构的执法人员的伪造签名。

其中一名知情人士说,黑客可能通过破坏执法部门的电子邮件系统,找到了合法的法律请求,并将它们作为伪造文件的模板。

网络公司Unit 221B的首席研究官艾莉森·尼克松(Allison Nixon)说:“在这些公司搞砸的每一次事件中,核心都是有人试图做正确的事情。”

“我无法告诉你有多少次信任和安全团队悄悄地拯救了生命,因为员工有法律上的灵活性,可以迅速对用户遭遇的悲惨情况做出反应。”

周二,Krebs On Security报道称,黑客伪造了一份紧急数据请求,以从社交媒体平台Discord获取信息。在给彭博社(Bloomberg)的一份声明中,Discord证实,它还满足了一个伪造的法律请求。

Discord在一份声明中表示:“我们会核实这些请求是否来自真实来源,在这次事件中,我们确实这么做了。”

“虽然我们的核查过程证实了执法部门账户本身是合法的,但我们后来了解到,它已经被恶意行为者攻破。我们已经对这一非法活动进行了调查,并通知了执法部门有关被盗电子邮件账户的情况。”

Apple和meta都发布了它们遵守紧急数据请求的数据。2020年7月至12月,苹果收到了来自29个国家的1162个紧急请求。报告称,苹果对其中93%的请求提供了数据。meta表示,从2021年1月至6月,它在全球收到了2.17万份紧急请求,并为其中77%的请求提供了一些数据。

meta在其网站上表示:“在紧急情况下,执法部门可能会在没有法律程序的情况下提交请求。”

“根据情况,我们可以自愿向执法部门披露信息,如果我们有充分的理由相信该事项涉及严重的人身伤害或死亡迫在眉睫的风险。”

从公司请求数据的系统由不同的电子邮件地址和公司门户网站组成。满足法律要求可能很复杂,因为世界各地有数万个不同的执法机构,从小型警察部门到联邦机构。

不同的司法管辖区在要求和公布用户数据方面有不同的法律。网络安全公司Recorded Future Inc的主管、国土安全部前网络项目主管贾里德·德-耶吉亚扬(Jared Der-Yeghiayan)说:“没有一个统一的系统或集中的系统来提交这些信息。”

“每个机构都有不同的处理方式。”Der-Yeghiayan说,meta和Snap等公司运营着自己的门户网站,供执法部门发送法律请求,但仍接受电子邮件请求,并每天24小时监控请求。

根据苹果的法律准则,苹果接受通过apple.com电子邮件地址获取用户数据的合法请求,“前提是这些请求来自请求机构的官方电子邮件地址”。

在某些情况下,损害世界各地执法部门的电子邮件域名相对简单,因为这些账户的登录信息可以在网上犯罪市场上出售。

网络安全公司ressecurity, Inc.的首席执行官吉恩·柳(Gene Yoo)说:“暗网地下商店包含执法机构的被盗电子邮件账户,这些账户可以随附cookies和元数据以10美元(42令吉)到50美元(210令吉)的价格出售。”

俞永博说,去年,由于微软Exchange电子邮件服务器存在以前未知的漏洞,多个执法机构成为攻击目标,“导致了进一步的入侵。”221B部队的尼克松说,利用被黑客入侵的执法部门电子邮件系统发送的伪造法律请求的潜在解决方案将很难找到。

“情况非常复杂,”她说。“解决这个问题并不像关闭数据流那么简单。除了最大化隐私,我们还需要考虑很多因素。”——彭博