ارائه اطلاعات کاربران توسط اپل و متا به هکرها، تنها با ثبت درخواستهای قانونی جعلی
اخبار داغ فناوری اطلاعات و امنیت شبکه
بلومبرگ در گزارشی گفت، به گفته سه نفر از افراد مطلع، Apple Inc. و شرکت مادر فیسبوک Meta Platforms Inc. ، دادههای مشتریان خود را در اختیار هکرهایی قرار دادند که خود را به عنوان مقامات مجری قانون جا زدهاند.
اپل و متا در اواسط سال ۲۰۲۱ در پاسخ به «درخواستهای داده اضطراری» جعلی، جزئیات اولیه مشترکین، مانند آدرس، شماره تلفن و آدرس IP مشتری را ارائه کردند. معمولاً چنین درخواستهایی فقط با حکم تفتیش یا احضاریه با امضای قاضی ارائه میشود. با این حال، درخواستهای اضطراری نیازی به حکم قطعی دادگاه ندارند.
مجموعه Snap Inc یک درخواست قانونی جعلی از همان هکرها دریافت کرد، اما مشخص نیست که آیا این شرکت در پاسخ به آن دادههایی ارائه کرده است یا خیر. همچنین مشخص نیست که چند بار شرکتها دادههایی را که به دلیل درخواستهای قانونی جعلی درخواست شده، ارائه کردهاند.
محققان امنیت سایبری گمان میکنند که برخی از هکرهایی که درخواستهای جعلی را ارسال میکنند، افراد زیر سن قانونی هستند که در بریتانیا و ایالات متحده قرار دارند و طبق گفتهها، یکی از خردسالان نیز مغز متفکر گروه جنایات سایبری Lapsus$ است که شرکتهای مایکروسافت، شرکت سامسونگ الکترونیکز و شرکت Nvidia Corp. را هک کردهاند. پلیس شهر لندن اخیراً هفت نفر را در ارتباط با تحقیقات درباره گروه هکری Lapsus$ دستگیر کرده است. اما بررسیها هنوز ادامه دارد.
یکی از نمایندگان اپل، اخبار بلومبرگ را به بخشی از دستورالعملهای اجرای قانون خود ارجاع داد.
دستورالعملهایی که اپل به آنها ارجاع میدهد میگوید که با ناظر دولت یا مأمور اجرای قانون که درخواست را ارسال کرده است، ممکن است با او تماس گرفته شود و از اپل خواسته شود که قانونی بودن درخواست اضطراری را تأیید کند.
اندی استون، سخنگوی متا در بیانیهای گفت: «ما هر درخواست داده را برای کافی بودن ادعاهای قانونی بررسی میکنیم و از سیستمها و فرآیندهای پیشرفته برای تأیید درخواستهای مجری قانون و کشف سواستفاده، استفاده میکنیم. ما حسابهای در معرض خطر شناخته شده را از ثبت درخواست مسدود میکنیم و با مجریان قانون برای پاسخگویی به حوادث مربوط به درخواستهای مشکوک به تقلب کار میکنیم، همانطور که تا کنون ور این مورد عمل کردهایم. »
اسنپ هیچ اظهارنظری فوری در مورد این پرونده نداشت، اما سخنگوی این شرکت گفت که این شرکت تدابیری برای شناسایی درخواستهای تقلبی از سوی مجری قانون دارد.
مجریان قانون در سراسر جهان بهعنوان بخشی از تحقیقات جنایی، بهطور معمول از پلتفرمهای رسانههای اجتماعی اطلاعاتی درباره کاربران میخواهند. در ایالات متحده، چنین درخواستهایی معمولاً شامل یک دستور امضا شده از یک قاضی است. درخواستهای اضطراری برای استفاده در موارد خطر قریب الوقوع در نظر گرفته شده است و نیازی به امضای قاضی ندارد.
به گفته سه نفری که در تحقیقات شرکت دارند، گمان میرود که هکرهای وابسته به یک گروه جرایم سایبری موسوم به "Recursion Team" پشت برخی از درخواستهای قانونی جعلی قرار داشته باشند که در طول سال ۲۰۲۱ برای شرکتها ارسال شده است.
گفته میشود که تیم Recursion دیگر فعال نیست، اما بسیاری از اعضای آن به انجام هکها با نامهای مختلف از جمله به عنوان بخشی از گروه Lapsus$ ادامه میدهند.
به گفته یکی از افراد آشنا در تحقیقات، اطلاعات به دست آمده توسط هکرها با استفاده از درخواستهای قانونی جعلی برای فعال کردن کمپینهای آزار و اذیت استفاده شده است. این سه نفر گفتند که ممکن است در درجه اول برای تسهیل طرحهای کلاهبرداری مالی نیز استفاده شود. با دانستن اطلاعات قربانی، هکرها میتوانند از آن برای کمک به تلاش برای دور زدن امنیت حسابها استفاده کنند.
بلومبرگ به منظور محافظت از هویت افرادی که هدف قرار گرفتهاند، برخی از جزئیات خاص رویدادها را حذف کرده است.
به گفته دو نفر از افراد، درخواستهای قانونی تقلبی بخشی از یک کمپین چند ماهه است که بسیاری از شرکتهای فناوری را هدف قرار داده و از ژانویه ۲۰۲۱ آغاز شده است. به گفته این سه نفر و یک فرد دیگر که این موضوع را بررسی میکنند، تصور میشود که درخواستهای قانونی جعلی از طریق دامنههایایمیل هک شده متعلق به سازمانهای مجری قانون در چندین کشور ارسال شده است.
درخواستهای جعلی بطوری طراحی شدهاند که مشروع و قانونی به نظر برسند. به گفته دو نفر از این افراد، در برخی موارد، این اسناد شامل امضای جعلی یا مأموران جعلی مجری قانون بوده است. به گفته یکی از افراد، با به خطر انداختن سیستم هایایمیل مجری قانون، هکرها ممکن است درخواستهای قانونی و مشروع پیدا کرده و از آنها به عنوان الگویی برای ایجاد موارد مجعول استفاده کرده باشند.
آلیسون نیکسون، مدیر ارشد تحقیقاتی در شرکت سایبری واحد 221B، گفت: «در هر موردی که این شرکتها به هم ریختند، در هسته اصلی آن شخصی وجود داشته که تلاش کرده کار درست را انجام دهد. من نمیتوانم به شما بگویم چند بار تیمهای اعتماد و ایمنی بیسر و صدا جان انسانها را نجات دادهاند، زیرا کارمندان از انعطاف قانونی برخوردار بودند تا به سرعت به وضعیت غمانگیزی که برای یک کاربر در حال رخ دادن است پاسخ دهند".
روز سهشنبه، Krebs on Security گزارش داد که هکرها درخواست دادههای اضطراری را برای به دست آوردن اطلاعات از پلتفرم رسانه اجتماعی Discord جعل کردهاند. دیسکورد در بیانیهای به بلومبرگ تأیید کرد که یک درخواست قانونی جعلی را نیز دریافت و بررسی کرده است.
دیسکورد در بیانیهای گفت: «ما این درخواستها را با بررسی اینکه آیا از یک منبع واقعی میآیند، تأیید میکنیم و در این مورد این کار را انجام دادیم. در حالی که روند راستیآزمایی ما تأیید کرد که حساب مجری قانون خود قانونی است، بعداً متوجه شدیم که توسط یک عامل مخرب به خطر افتاده است. ما از آن زمان تحقیقاتی در مورد این فعالیت غیرقانونی انجام دادهایم و به مجریان قانون در مورد حسابایمیل در معرض خطرشان اطلاعرسانی کردهایم».
اپل و متا هر دو اطلاعات مربوط به انطباق خود با درخواستهای داده اضطراری را منتشر میکنند. از جولای تا دسامبر ۲۰۲۰، اپل ۱۱۶۲ درخواست اضطراری از ۲۹ کشور دریافت کرده است. طبق گزارش خود، اپل در پاسخ به ۹۳ درصد از این درخواستها، دادههایی را ارائه کرده است.
متا گفت که ۲۱۷۰۰ درخواست اضطراری را از ژانویه تا ژوئن ۲۰۲۱ در سطح جهان دریافت کرده و در پاسخ به ۷۷ درصد از درخواستها، دادههایی را ارائه کرده است.
متا در وبسایت خود میگوید: "در مواقع اضطراری، مجری قانون ممکن است درخواستهایی را بدون طی مراحل قانونی ارسال کند. بر اساس شرایط، ممکن است به طور داوطلبانه اطلاعاتی را در اختیار مجریان قانون قرار دهیم که دلیلی با حسن نیت برای این باور داشته باشیم که این موضوع مستلزم خطر قریبالوقوع صدمات جسمی جدی یا مرگ افراد است".
سیستمهای درخواست داده از شرکتها مجموعهای از آدرس هایایمیل مختلف و پورتالهای شرکت است. انجام درخواستهای قانونی میتواند پیچیده باشد، زیرا دهها هزار سازمان مجری قانون مختلف، از ادارات پلیس کوچک گرفته تا آژانسهای فدرال، در سراسر جهان وجود دارند. حوزههای قضایی مختلف نیز، قوانین متفاوتی در مورد درخواست و انتشار دادههای کاربر دارند.
جرد در یقیان، مدیر شرکت امنیت سایبری Recorded Future Inc. و مدیر سابق برنامه سایبری در وزارت امنیت داخلی، گفت: "هیچ سیستم یا ساختار متمرکزی برای ارسال این موارد وجود ندارد. هر آژانس به طور متفاوتی با آنها برخورد میکند".
در یقیان گفت که شرکتهایی مانند متا و اسنپ پورتالهای خود را برای مجریان قانون جهت ارسال درخواستهای قانونی راهاندازی میکنند، اما همچنان درخواستها را از طریقایمیل میپذیرند و درخواستها را ۲۴ ساعته نظارت و بررسی میکنند.
طبق دستورالعملهای قانونی اپل، اپل درخواستهای قانونی برای دادههای کاربر در آدرسایمیل apple.com را میپذیرد، «به شرطی که از آدرسایمیل رسمی آژانس درخواستکننده مخابره شود».
به خطر انداختن دامنه هایایمیل مجریان قانون در سراسر جهان در برخی موارد نسبتاً ساده است، زیرا اطلاعات ورود به سیستم این حسابها برای فروش در بازارهای جنایی آنلاین موجود است.
گنه یو، مدیر اجرایی شرکت امنیت سایبری Resecurity، Inc میگوید: "فروشگاههای زیرزمینی دارک وب حاوی حسابهای ایمیل در معرض خطر سازمانهای مجری قانون هستند که میتوانند با کوکیها و ابردادههای پیوست شده با قیمتی بین ۱۰ تا ۵۰ دلار فروخته شوند".
یو گفت که چندین سازمان مجری قانون در سال گذشته در نتیجه آسیبپذیریهای ناشناخته قبلی در سرورهایایمیل مایکروسافت اکسچنج مورد هدف قرار گرفتند که «به نفوذ بیشتر منجر شده است».
نیکسون از واحد 221B یادآور شد که یافتن راه حل بالقوه برای استفاده از درخواستهای قانونی جعلی ارسال شده از سیستم هایایمیل مجری قانون هک شده دشوار خواهد بود.
او گفت: "وضعیت بسیار پیچیده است. رفع آن به سادگی بستن جریان داده نیست. عوامل زیادی وجود دارد که ما باید فراتر از به حداکثر رساندن حریم خصوصی، آنها را در نظر بگیریم".
برچسب ها: بلومبرگ, Bloomberg, Snap, Samsung Electronics, law enforcement, داده, apple.com, Recorded Future, Recursion, Recursion Team, سامسونگ الکترونیکز, Lapsus$, Meta Platforms, Apple Inc, مایکروسافت اکسچنج, ان ویدیا, META, متا, NVIDIA, دارک وب, Discord, Facebook, Microsoft, فیسبوک, Apple, اپل, Samsung, Cyber Security, مایکروسافت, هکر, امنیت سایبری, Cyber Attacks, حمله سایبری