اپل و متا به‌اشتباه داده‌های شخصی کاربران را به هکرها تحویل داده‌اند

منابع رسانه‌ی بلومبرگ ادعا می‌کنند اپل (Apple) و متا (Meta) داده‌های کاربران را به هکرهایی تحویل داده‌اند که خودشان را به‌عنوان نهادهای قانون‌گذار دولتی جا زده‌اند و درخواست‌های اضطراری جعلی برای دسترسی به داده‌های کاربران به این دو شرکت ارسال کرده‌اند.

به‌نوشته‌ی ورج، این اتفاق اواسط سال ۲۰۲۱ رخ داده است و دو شرکت اپل و متا گرفتار این درخواست‌های جعلی شده‌اند. گفته می‌شود این دو شرکت اطلاعاتی درباره‌ی آدرس IP کاربر، شماره‌ی تلفن‌همراه و نشانی منزل را دردسترس هکرها قرار داده‌اند.

مقام‌های رسمی نهادهای مجری قانون در اغلب اوقات هنگام انجام تحقیقات جنایی درخواست دسترسی به داده‌های پلتفرم‌های اجتماعی را صادر می‌کنند تا به داده‌های فردی دسترسی پیدا کنند که پشت حساب کاربری خاصی در شبکه‌های اجتماعی حضور دارد. این درخواست‌ها باید شامل احضاریه یا مجوز تفتیشی با امضای قاضی دادگاه باشد؛ اما درخواست‌های اضطراری دسترسی به داده نیازمند این امضا نیست. این نوع درخواست‌ها برای پرونده‌هایی صادر می‌شوند که شامل موقعیت‌های تهدیدکننده‌ی زندگی است.

این نخستین‌بار نیست که هکرها درخواست دسترسی به اطلاعات را جعل می‌کنند و در چند وقت اخیر اتفاقات مشابهی را شاهد بوده‌ایم. به‌نوشته‌ی رسانه‌ی Krebs on Security، هکرها در این نوع حمله باید ابتدا به سیستم‌های ایمیل ادار‌ه‌های پلیس دسترسی پیدا کنند. هکرها از این طریق می‌توانند درخواست اضطراری دسترسی به داده را جعل کنند. در این درخواست‌ها، به این موضوع اشاره می‌شود که اگر داده‌ها به‌سرعت ارسال نشوند، ممکن است مشکلاتی جدی به‌وجود بیاید. هکر در این درخواست‌ها خودش را به‌عنوان یکی از مقام‌های رسمی دولتی جا می‌زند.

این رسانه می‌افزاید شماری از هکرها دسترسی به ایمیل‌های دولتی را در ازای دریافت پول به بقیه ارائه می‌دهند؛ خصوصاً وقتی هدف اصلی جعل درخواست‌های اضطراری دسترسی به داده‌های شبکه‌های اجتماعی باشد. بررسی‌ها نشان می‌دهد اکثر افراد مؤثر در این عملیات‌های خراب‌کارانه نوجوان هستند. بلومبرگ می‌گوید متخصصان حوزه‌ی امنیت سایبری اعتقاد دارند نوجوانی که مغز متفکر حملات گروه هکری $Lapsus بود، ممکن است در هدایت حملات جدید ایفای نقش کرده باشد. پلیس لندن تاکنون هفت نوجوان را در ارتباط با این گروه هکری بازداشت کرده است.

البته گفته می‌شود که مجموعه‌حملات سال گذشته‌ی میلادی ممکن است کار اعضای گروهی متشکل از مجرمان سایبری به نام Recursion Team باشد. با وجود منحل‌شدن این گروه، برخی از افراد آن با نام‌های متفاوت به عضویت گروه $Lapsus درآمده‌اند.

مقام‌های رسمی مسئول تحقیقات این پرونده به بلومبرگ گفته‌اند هکرها توانسته‌اند به حساب‌های آژانس‌های مجری قانون در چند کشور دسترسی پیدا کنند و در مدت چند ماه، تعداد زیادی از شرکت‌ها را هدف قرار دهند.

مقاله‌های مرتبط:نفوذ گسترده‌ی هکرهای چینی به درون سرورهای اپل و آمازون با استفاده از میکروچیپهکرها ۷۱ هزار آدرس ایمیل و هش رمزعبور کارمندان انویدیا را فاش کردند

سخن‌گوی متا به ورج می‌گوید این شرکت تمامی درخواست‌های دسترسی به داده را برای اطمینان از قانون‌بودن آن‌ها بررسی می‌کند و به سیستم‌ها و فرایندهای پیشرفته برای تشخیص درخواست‌های جعلی متکی می‌شود. اپل نیز می‌گوید اگر یکی از نهادهای دولتی درخواست دسترسی به داده ثبت کند، این شرکت با یکی از مقام‌های ناظر بر پرونده تماس می‌گیرد تا صحت ماجرا بررسی شود.

به‌نظر می‌رسد اپل و متا تنها شرکت‌هایی نیستند که با حملات متکی‌ بر درخواست جعلی هدف قرار گرفته‌اند. بلومبرگ می‌گوید اسنپ (توسعه‌دهنده‌ی اسنپ‌چت) نیز هدف این حملات بوده است؛ اما مشخص نیست که اسنپ نیز مثل اپل و متا اطلاعات را به هکرها ارائه داده است یا خیر. در گزارش دیگری، آمده است که دیسکورد نیز اطلاعاتی را به روش مشابه دراختیار هکرها گذاشته است.

اپل و متا در اشتباهی عجیب، داده‌های شخصی کاربران نظیر شماره‌ی تلفن‌همراه، نشانی منزل و IP را به هکرهایی ظاهراً نوجوان داده‌اند.