Pořádný omyl se minulý rok podařil Applu a Metě. Obě společnosti předaly osobní data o uživatelích hackerům, kteří se vydávali za policisty. Informuje o tom agentura Blooberg, jež získala vypovědí tří lidí obeznámených se záležitostí. K incidentu mělo dojít v polovině loňského roku.
Mezi předaná osobní data patřila telefonní čísla uživatelů, jejich IP adresy a bydliště. V tuto chvíli není jasné, jaký objem dat společnosti odeslaly, požadavek ale proběhl v rámci institutu tzv. nouzové žádosti, která v Americe umožňuje orgánům činným v trestním řízení vyžadovat data i bez soudního příkazu. K této cestě se typicky přistupuje v kritických situacích, kdy jsou ohroženy životy lidí a společnosti mají jen malou možnost se bránit.
Apple nouzových žádostí o data obdržel mezi červencem a prosincem 2020 1162, vyhověl v 93 procentech případů. Meta jich mezi lednem a červnem 2021 měla 21 700 a vyhověla 77 procentům žádostí. Jsou to jen ilustrační údaje, kolik požadavků musí velké společnosti řešit a někde v tomto počtu se Applu a Metě podařilo nerozpoznat, že žádost ve skutečnosti přišla od hackerů.
Mluví Mety Andry Stone zaslal všem amerických médiím totožnou reakci, ve které uvedl, že firma „každý požadavek o data kontroluje z hlediska právní dostatečnosti, k čemuž využívá pokročilé systémy a procesy ověřování, aby odhalila případné zneužití“.
„Blokujeme známé napadené účty, aby nemohly zadávat žádosti a spolupracujeme s orgány činnými v trestním řízení, abychom reagovali na incidenty zahrnující podezření na podvodné požadavky, jako jsme to udělali v tomto případě,“ pokračoval Stone, který přímo nepotvrdil, že by Meta data hackerům předala, ale jeho odpověď naznačuje, že si omylu společnost později všimla.
Mluvčí Apple byl ještě méně sdílný, jen odvětil, že žádosti o data typicky musí obsahovat kontakt na konkrétní vyšetřovatele, aby bylo možné ověřit, že požadavek je legitimní, ale k incidentu se rovněž přímo nevyjádřil.
Mnohem větší problém, než se zdá
Bloomberg uvádí, že hackeři, kterým se data podařilo získat, patřili buď ke skupině Recursion Team nebo Lapsus$. Druhý jmenovaný tým má na kontě širokou škálu úspěšných útoků mimo jiné proti Microsoftu, Vodafone nebo Nvidii. Data mohla být zneužita k finančním podvodům.
Kyberbezpečnostní blog Krebs on Security podotkl, že nejde o první případ svého druhu, hackeři stále častěji zneužívají policejní systémy, aby falešné nouzové žádosti o osobní data odesílali. Zpráva obvykle obsahuje urgentní dovětek, že pokud údaje nebudou poskytnuty, nevinní lidé mohou trpět nebo zemřít. Obětí podobného pokusu se stal i Snap, ale není známo, zda data poskytl nebo ne.