اپل و متا بهاشتباه دادههای شخصی کاربران را به هکرها تحویل دادهاند
منابع رسانهی بلومبرگ ادعا میکنند اپل (Apple) و متا (Meta) دادههای کاربران را به هکرهایی تحویل دادهاند که خودشان را بهعنوان نهادهای قانونگذار دولتی جا زدهاند و درخواستهای اضطراری جعلی برای دسترسی به دادههای کاربران به این دو شرکت ارسال کردهاند. بهنوشتهی ورج، این اتفاق اواسط سال ۲۰۲۱ رخ داده است و دو شرکت اپل و متا گرفتار این درخواستهای جعلی شدهاند. گفته میشود این دو شرکت اطلاعاتی دربارهی آدرس IP کاربر، شمارهی تلفنهمراه و نشانی منزل را دردسترس هکرها قرار دادهاند.
مقامهای رسمی نهادهای مجری قانون در اغلب اوقات هنگام انجام تحقیقات جنایی درخواست دسترسی به دادههای پلتفرمهای اجتماعی را صادر میکنند تا به دادههای فردی دسترسی پیدا کنند که پشت حساب کاربری خاصی در شبکههای اجتماعی حضور دارد. این درخواستها باید شامل احضاریه یا مجوز تفتیشی با امضای قاضی دادگاه باشد؛ اما درخواستهای اضطراری دسترسی به داده نیازمند این امضا نیست. این نوع درخواستها برای پروندههایی صادر میشوند که شامل موقعیتهای تهدیدکنندهی زندگی است.
این نخستینبار نیست که هکرها درخواست دسترسی به اطلاعات را جعل میکنند و در چند وقت اخیر اتفاقات مشابهی را شاهد بودهایم. بهنوشتهی رسانهی Krebs on Security، هکرها در این نوع حمله باید ابتدا به سیستمهای ایمیل ادارههای پلیس دسترسی پیدا کنند. هکرها از این طریق میتوانند درخواست اضطراری دسترسی به داده را جعل کنند. در این درخواستها، به این موضوع اشاره میشود که اگر دادهها بهسرعت ارسال نشوند، ممکن است مشکلاتی جدی بهوجود بیاید. هکر در این درخواستها خودش را بهعنوان یکی از مقامهای رسمی دولتی جا میزند.
این رسانه میافزاید شماری از هکرها دسترسی به ایمیلهای دولتی را در ازای دریافت پول به بقیه ارائه میدهند؛ خصوصاً وقتی هدف اصلی جعل درخواستهای اضطراری دسترسی به دادههای شبکههای اجتماعی باشد. بررسیها نشان میدهد اکثر افراد مؤثر در این عملیاتهای خرابکارانه نوجوان هستند. بلومبرگ میگوید متخصصان حوزهی امنیت سایبری اعتقاد دارند نوجوانی که مغز متفکر حملات گروه هکری $Lapsus بود، ممکن است در هدایت حملات جدید ایفای نقش کرده باشد. پلیس لندن تاکنون هفت نوجوان را در ارتباط با این گروه هکری بازداشت کرده است.
گفته میشود که مجموعهحملات سال گذشتهی میلادی ممکن است کار اعضای گروهی متشکل از مجرمان سایبری به نام Recursion Team باشد. با وجود منحلشدن این گروه، برخی از افراد آن با نامهای متفاوت به عضویت گروه $Lapsus درآمدهاند. مقامهای رسمی مسئول تحقیقات این پرونده به بلومبرگ گفتهاند هکرها توانستهاند به حسابهای آژانسهای مجری قانون در چند کشور دسترسی پیدا کنند و در مدت چند ماه، تعداد زیادی از شرکتها را هدف قرار دهند.
سخنگوی متا به ورج میگوید این شرکت تمامی درخواستهای دسترسی به داده را برای اطمینان از قانونبودن آنها بررسی میکند و به سیستمها و فرایندهای پیشرفته برای تشخیص درخواستهای جعلی متکی میشود. اپل نیز میگوید اگر یکی از نهادهای دولتی درخواست دسترسی به داده ثبت کند، این شرکت با یکی از مقامهای ناظر بر پرونده تماس میگیرد تا صحت ماجرا بررسی شود.
بهنظر میرسد اپل و متا تنها شرکتهایی نیستند که با حملات متکی بر درخواست جعلی هدف قرار گرفتهاند. بلومبرگ میگوید اسنپ (توسعهدهندهی اسنپچت) نیز هدف این حملات بوده است؛ اما مشخص نیست که اسنپ نیز مثل اپل و متا اطلاعات را به هکرها ارائه داده است یا خیر. در گزارش دیگری، آمده است که دیسکورد نیز اطلاعاتی را به روش مشابه دراختیار هکرها گذاشته است.
نظرات