Apple y Meta entregaron datos de usuarios a piratas informáticos que se hacían pasar por agentes del orden, según un nuevo informe. Mediante el uso de solicitudes de datos de emergencia, los delincuentes pudieron reunir las direcciones físicas, los números de teléfono y las direcciones IP de los clientes.
Citando a tres personas con conocimiento del asunto, Bloomberg escribe que Apple y Meta respondían a formularios de Solicitud de Datos de Emergencia (EDR) falsificados. Mientras que las solicitudes de datos estándar solo se facilitan mediante una orden judicial o un juez, las EDR, utilizadas en casos en los que existe un peligro inminente, no requieren una orden judicial. Según el informe, la información robada se ha empleado para esquemas de fraude, para acceder a cuentas y para permitir campañas de acoso. Un desastre.
Al parecer, Snap Inc. recibió una de las solicitudes legales falsificadas, pero no está claro si la empresa también proporcionó información a los hackers.
Los responsables serían los del grupo Lapsus$, que ya están en custodia
Los investigadores de ciberseguridad sospechan que algunos de los responsables del envío de las solicitudes falsificadas eran menores de edad de Estados Unidos y Reino Unido, uno de los cuales se dice que es el mismo cerebro detrás del conocido grupo Lapsus$. El adolescente fue identificado recientemente y podría haber sido una de las siete personas que posteriormente fueron detenidas.
Las directrices de Apple dicen que la compañía puede ponerse en contacto con el supervisor de un agente de la ley para comprobar que una solicitud es legítima, y Meta dijo que revisa “cada solicitud de datos para la suficiencia legal y el uso de sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar el abuso.” Snap dijo que también contaba con salvaguardias para detectar solicitudes fraudulentas.
Los grupos como Lapsus$ y Recursion Team llevan largo tiempo atacando a las empresas
Se cree que los piratas informáticos que estaban detrás de las solicitudes falsas, que formaban parte de una campaña de meses de duración dirigida a varias empresas tecnológicas, estaban afiliados a un grupo llamado Recursion Team. Aunque este ya no está activo, sus antiguos miembros han pasado a formar parte de otros grupos, como Lapsus$.
Las solicitudes parecían auténticas, ya que los hackers comprometían los sistemas de correo electrónico de las fuerzas de seguridad para robar las plantillas de los documentos y, a menudo, falsificaban las firmas de funcionarios reales o ficticios. Krebs on Security comentó que el grupo envió una de las solicitudes a Discord, que cumplió con el pedido. Un vocero de la empresa explicó que el proceso de verificación confirmó que la cuenta de las fuerzas del orden era legítima. Pero más tarde supieron que había sido comprometida por un actor malicioso.
Lo cierto es que están todos flojos en materia de seguridad. Los datos privados de las personas quedan a merced de la incompetencia de los empleados de estas empresas. Pareciera que tienen buenas razones para justificar su ineptitud, pero la verdad, no es así. Hoy en día los hackers son una de las principales amenazas que afectan a empresas y usuarios en todo el mundo, deberían tener más precaución con los datos de sus clientes.
Esperemos que de ahora en más, Apple, Meta, Discord y Snap Inc verifiquen bien antes de entregar los datos de los usuarios a cualquiera que se los pide. Pero bueno, por lo pronto a cuidarse mucho lo que subimos a las redes.