Några av offren i ett nytt bedrägeri för att hämta känslig data från stora teknikföretag genom att använda kapade e-postkonton från den amerikanska polisen har avslöjats.
Enligt uppgifter från Bloomberg så ska både Meta (Moderföretaget för Facebook) och Apple vara bland de drabbade. Båda företagen har delat användares IP-adresser, telefonnummer och hemadresser med bedragarna.
Utöver Meta och Apple så ska ett antal andra stora teknikföretag ha utsats för attacken, inklusive Snap och Discord, men det är ännu okänt om även dessa företag har lämnat ut information.
Snap och Discord måltavlor
I en kommentar till nyheten säger Andy Stone, kommunikationschef på Meta, till The Verge att företaget systematiskt granskar varje krav på datautlämning utifrån dels juridiskt perspektiv, dels utifrån avancerade processer för att bekräfta att kravet är korrekt och för att motverka missbruk.
"Vi blockerar kända kapade konton från att kunna lämna in begäran om datautlämning och arbetar med det lokala rättsväsendet för att hantera incidenter med misstänkt falska rapporter på samma sätt som vi gjort i det aktuella fallet" säger han i ett uttalande.
"Den här taktiken innebär ett betyande hot mot hela teknikindustrin" säger Peter Day, kommunikatör på Discord. " Vi utvärderar ständigt våra möjligheter för att hantera den här typen av frågor."
I den ursprungliga rapporten från KrebsOnSecurity så framkommer det att en grupp cyberkriminella, eventuellt samma grupp som senare grundade Lapsus$, lyckades ta över e-postkonton som hör till rättsväsendet, troligen via nätfiske eller virusangrepp.
De använde sedan dessa e-postkonton för att nå ut till stora företag med så kallade EDR, Emergency Data Request. Olika delar av rättsväsendet gör ofta förfrågningar med krav på att lämna ut uppgifter om användare och kunder. Dessa förfrågningar tar ofta en del tid att bearbeta, för att säkerställa att de överensstämmer med gällande regelverk.
EDR däremot, går förbi detta eftersom de används i fall när personers liv och välbefinnande kan stå på spel. Genom att spela på EDR-kortet så kunde angriparna tvinga företagen att väga mellan att riskera människors liv genom att ta ordentlig tid på sig för att bekräfta avsändarens identitet eller risken att läcka data genom att skicka över begärda uppgifter utan att dubbelkolla vem avsändaren är.
Källa: The Verge
