彭博新闻社的William Turton报道了苹果和Meta公司向伪造了司法机构文件的黑客提供用户信息的情况。据知情人员称,黑客似乎是通过被黑的司法部门的电邮域名来发送这些伪造的法律请求。这类请求是为了应对紧急事件而发出的,并不需要法官命令,因此被黑客钻了空子。
据三位知情人士透露,苹果公司和脸书的母公司Meta向伪装成执法官员的黑客提供了客户数据。
苹果公司和Meta公司在2021年中期提供了基本的用户信息,如客户的地址、电话号码和IP地址,以回应伪造的“紧急数据请求”。据这些人说,通常情况下,只有在持有法官签署的搜查令或传票的情况下才会提供这种数据。然而,紧急请求不需要法院命令。
Snapchat的母公司Snap也收到了来自同一黑客的伪造的法律请求,但不知道公司是否因此提供了数据。也不清楚这些公司有多少次在收到伪造的法律请求后提供数据。
这些人说,网络安全研究人员怀疑,一些发送伪造请求的黑客是位于英国和美国的未成年人。其中一名未成年人还被认为是网络犯罪集团Lapsus$的幕后策划者,这个组织曾入侵微软、三星电子和英伟达等。伦敦市警察局最近调查并逮捕了与Lapsus$黑客组织有关的7人;调查仍在进行中。
苹果的一位代表向彭博新闻社提供了公司执法指南的一个部分。
苹果引用的指南中说,提交请求的政府或执法机构的主管“可能会被联系,并被要求向苹果公司确认紧急请求是合法的”。
Meta公司发言人安迪·斯通在一份声明中说:“我们审查每一个数据请求的合法程度,并使用先进的系统和流程来验证执法请求,并检测是否存在滥用。我们阻止已知的被盗账户提出请求,并与执法部门合作,对疑似涉及伪造请求的事件作出回应,正如我们在本案中所做的那样。”
Snap公司没有立即对本案发表评论,但一位发言人说,公司有保障措施来检测伪造的执法部门请求。
世界各地的执法部门经常要求社交媒体平台提供有关用户的信息,作为刑事调查的一部分。在美国,这种请求通常包括有法官签字的命令。紧急请求则是为了在危机迫在眉睫的情况下使用,不需要法官签字。
据参与调查的三人称,隶属于一个名为“Recursion Team”的网络犯罪团伙的黑客被认为是一些伪造法律请求的幕后黑手,这些请求在2021年,被发送到各个公司。
这些人说,Recursion Team已不再活跃,但其中的许多成员继续以不同的名义进行黑客攻击,包括成为Lapsus$案的一部分。
据其中一位熟悉调查的人士称,黑客利用伪造的法律请求所获得的信息已被用于进行骚扰活动。这三位人士说,这可能主要用于展开金融欺诈计划。通过了解受害者的信息,黑客可以利用它来试图绕过账户的安全措施。
彭博社省略了事件的一些具体细节,以保护目标人物的身份。
据其中两位人士称,这些欺诈性的法律请求是长达数月计划的一部分,这项计划针对许多科技公司,早在2021年1月就开始了。据这三个人和另外一名调查此事的人说,据信这些伪造的法律请求,是通过属于多个国家执法机构的,被黑的电子邮件域名发送的。
这些伪造的请求看起来是合法的。据其中两人说,在某些情况下,这些文件包括伪造的执法官员的签名,其中可能包含真实或虚构的身份。据其中一位人士称,通过入侵执法部门的电子邮件系统,黑客可能找到了合法的法律请求文档,并将其作为模板来制作伪造文件。
网络公司Unit 221B的首席研究官埃里森·尼克松说:“在这些公司搞砸的每一个案例中,核心都是有一个人在试图做正确的事情。我无法告诉你信任和安全团队有多少次悄悄地拯救了生命,因为员工有法律上的灵活性来迅速应对用户面临的悲惨情况。”
周二,安全新闻网站Krebs on Security报道说,黑客伪造了一份紧急数据请求,从社交媒体平台Discord获取信息。在给彭博社的一份声明中,Discord证实它也回应了一个伪造的法律请求。
Discord在一份声明中说:“我们通过检查这些请求是否来自真实来源来验证它们,在这种情况下也是如此。虽然我们的验证过程证实了执法部门的账户本身是合法的,但我们后来了解到,它被一个恶意的行为者所破坏了。此后,我们对这一非法活动进行了调查,并向执法部门通报了被泄露的电子邮件账户。”
苹果和Meta都公布了他们遵守紧急数据请求的信息。从2020年7月到12月,苹果收到了来自29个国家的1162份紧急请求。根据报告,在93%的情况下,苹果都对这些请求提供了数据。
Meta公司说,从2021年1月至6月,它在全球范围内收到了21700份紧急请求,并对77%的请求提供了一些数据。
Meta在网站上说:“在紧急情况下,执法部门可能会在不经过法律程序的情况下提交请求,根据情况,如果我们有充分的理由相信此事涉及迫在眉睫的严重人身伤害或死亡风险,我们能够自愿向执法部门披露信息。”
向公司索取数据的系统,是由不同的电子邮件地址和公司的门户网站拼凑而成。满足法律的要求可能很复杂,因为全世界有数万个不同的执法机构,从小型警察部门到联邦机构。不同的司法管辖区有不同的关于如何请求和发布用户数据的法律。
网络安全公司Recorded Future的董事、国土安全部前网络项目负责人贾里德·德-耶吉亚扬说:“没有单一系统或集中的系统来提交这些东西。每个机构都以不同的方式处理它们。”
德-耶吉亚扬说,Meta和Snap等公司都经营着自己的门户网站,供执法部门发送法律请求,并且仍接受电子邮件请求,而且也全天候监测这些请求。
根据苹果公司的法律准则,公司通过apple.com的电子邮件地址接受对用户数据的合法请求,“只要它是从发出请求机构的官方电子邮件地址发送的。”
在某些情况下,破坏世界各地执法部门的电子邮件域名相对简单,因为这些账户的登录信息会在网络犯罪的黑市上进行买卖。
网络安全公司Resecurity的首席执行官吉恩·于说:“暗网的地下商店包含被破坏的执法机构的电子邮件账户,这些账户可以连同附带的cookies和元数据一起出售,价格从10美元到50美元不等。
于说,由于微软Exchange电子邮件服务器中过去存在着未知的漏洞,去年多个执法机构成为了目标,“导致了进一步的入侵。”
221B公司的尼克松说,从被黑的执法部门电子邮件系统中,发送伪造的法律请求这一问题,很难被解决。
她说:“情况非常复杂。解决这个问题并不像关闭数据流那么简单。除了单纯的将隐私最大化,我们还必须考虑许多因素。”