Apple e Meta enviaram dados a hackers que fingiram ser policiais

A Apple e a Meta compartilharam dados pessoais de usuários com hackers que se passaram por autoridades policiais. Os supostos agentes, falsificaram ordens de solicitações de dados de emergências, normalmente enviadas por policiais, de acordo com um relatório da Bloomberg.

O deslize aconteceu em 2021, com as duas gigantes da tecnologia caindo nas solicitações falsas e fornecendo informações como endereços de IP, números de telefone e endereços residenciais de usuários.

Geralmente, os agentes da lei solicitam as empresas de tecnologia dados pessoais de pessoas investigadas, como nome completo, dados de transações de compras em loja de apps, dentre outros. Embora esse tipo de solicitação exija uma intimação ou mandado de busca e apreensão assinada por um juiz, as solicitações de casos de emergência logo dispensa a papelada; — e são destinadas a casos que envolvam risco de vida.

Apple e Meta enviaram dados a hackers que fingiram ser policiais

As falsas solicitações de dados de usuários começa quando hackers invadem o sistema de e-mail de um departamento de polícia. Dessa forma, em posse dos e-mails oficiais, os criminosos começam a forjar falsos pedidos de solicitações de dados de emergência e enviam as empresas de tecnologia.

Os hackers podem então forjar uma solicitação de dados de emergência que descreve o perigo potencial de não enviar os dados solicitados imediatamente, ao mesmo tempo em que assumem a identidade de um oficial da lei.

Como observa a Krebs on Security, a maioria dos criminosos que realizam esses tipos de solicitações são na verdade adolescentes. De acordo com a Bloomberg, pesquisadores de segurança cibernética acreditam que o cabeça por trás do grupo de hackers Lapsus$ pode estar envolvido na condução desse tipo de golpe. Desde então, a polícia de Londres prendeu sete adolescentes em conexão com o grupo.

“Revisamos todas as solicitações de dados para a suficiência legal e usamos sistemas e processos avançados para validar solicitações de aplicação da lei e detectar abusos”, disse Andy Stone, diretor de políticas e comunicações da Meta, em comunicado enviado por e-mail ao site The Verge.”

Quando solicitada a comentar sobre o caso, a Apple redirecionou o The Verge para suas diretrizes de aplicação da lei, que afirmam: “Se um governo ou agência de aplicação da lei buscar dados do cliente em resposta a uma solicitação de informações de emergência do governo e da lei, um supervisor do governo ou agente da lei que enviou a solicitação emergencial de informações governamentais e policiais podem ser contatados e solicitados a confirmar à Apple que a solicitação de emergência era legítima.”

Contudo, a Apple e Meta não são as únicas empresas conhecidas afetadas por falsas solicitações de dados de emergência. A Bloomberg disse que os hackers também entraram em contato com a Snap (responsável pelo Snapchat) com uma solicitação falsa; mas não está claro se a empresa seguiu adiante. O relatório do Krebs on Security também inclui uma confirmação do Discord de que a plataforma forneceu informações em resposta a uma dessas solicitações falsas.