Il gruppo di hacker denominato Lapsus$ sembra essersi insediato tra le fila di Apple e Meta, ingannandoli e facendogli consegnare i dati personali degli utenti, inclusi nomi, numeri di telefono e indirizzi IP. Attraverso uno degli stratagemmi più creativi mai ideati, gli hacker avrebbero sfruttato i cosiddetti emergency data requests (EDR), usati dalla polizia per accedere a determinati dati quando qualcuno è potenzialmente in pericolo e che non richiedono la firma di un giudice.
A lungo gli EDR sono stati criticati, visti come un abuso da parte delle forze dell’ordine; questa però è la prima volta che vengono presi di mira da parte di hacker.
Il modus operandi sembra essere il seguente: gli hacker, dopo essere entrati nei sistemi di posta elettronica di un determinato dipartimento di polizia, riescono a creare una falsa emergency request che descrive il potenziale pericolo di non rilasciare i propri dati sensibili nell’immediato, il tutto assumendo l’identità di un funzionario delle forze dell’ordine.
Secondo il giornale Krebs, alcuni dei truffatori starebbero vendendo accessi a sistemi di posta elettronica governativi, con obiettivo quello di prendere di mira le piattaforme social con richieste fasulle. Coloro che stanno agendo in queste malefatte sembrano essere dei teenagers e, inoltre, sembra che il massimo esponente del gruppo Lapsus$ sia coinvolto in prima persona; la polizia di Londra ha già provveduto ad arrestare sette ragazzini coinvolti nelle gesta del gruppo.
Quali sono i commenti di Apple e Meta in merito?
Andy Stone, direttore della sezione “policy and communications” di Meta si è pronunciato affermando:
Esaminiamo ogni richiesta di dati per verificarne la legalità, utilizzando sistemi avanzati per validare le varie richieste. Cerchiamo di impedire ad account ormai compromessi di inoltrare tali richieste, collaborando con le forze dell’ordine in risposta agli incidenti che le coinvolgono.
Apple invece ha commentato:
Se enti governativi o agenzie delle forze dell’ordine sono alla ricerca di dati di clienti in risposta ad una emergency data request, un supervisore del governo o un agente delle forze dell’ordine che ha presentato la richiesta potrà essere contattato, confermando ad Apple che la richiesta di emergenza sia legittima.
Meta e Apple non sono le uniche aziende affette da tali violazioni, in quanto anche Snapchat sembra essere protagonista di questi attacchi ( non è chiaro però se l’azienda abbia risposto o meno). D’altro canto, Discord ha involontariamente fornito dati sensibili dopo una di queste richieste, cadendone vittima.
Discord ha risposto:
Queste tattiche rappresentano una minaccia significativa in tutto il settore tecnologico. Investiamo continuamente nei nostri sistemi di sicurezza per evitare problemi come questo.
Sembra che la nostra privacy sia in continuo pericolo attraverso i metodi di appropriazione più disparati. L’unica cosa su cui possiamo fare affidamento è l’informazione, con la speranza di non cadere vittima di queste continue truffe.
Fonte: theverge.com