El año pasado, los ciberdelincuentes utilizaron datos policiales falsos solicitudes para robar una cantidad desconocida de información del usuario de Apple y Meta. Las solicitudes de datos se enviaron al tech comempresas que utilizan cuentas de correo electrónico de la policía pirateadas, haciéndolas parecer de fuentes gubernamentales legítimas.
Bloomberg informes que, a mediados de 2021, los dos gigantes tecnológicos fueron engañados para que entregaran una cantidad desconocida de “detalles básicos del suscriptor”, incluidas las direcciones de los usuarios, las direcciones IP y los números de teléfono. Snap Inc., la empresa propietaria de Snapchat, también recibió al menos una solicitud similar, pero no ha dicho si los datos fueron entregados como resultado o no.
En este momento, no está claro exactamente cuántas solicitudes falsas se dirigieron a Apple y Meta y cuántos datos se entregaron. Nos comunicamos con ambas compañías para obtener comentarios y actualizaremos esta historia si responden.
En una declaración proporcionada a Bloomberg, el portavoz de Meta, Andy Stone, aparentemente le dijo al medio: “Revisamos cada solicitud de datos para verificar su suficiencia legal y usamos sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar abusos”. Agregó: “Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas del orden público para responder a incidentes que involucran solicitudes fraudulentas sospechosas, como lo hemos hecho en este caso”.
Mientras tanto, un representante de Snap no pudo confirmar ni negar si los datos habían sido entregados, pero le dijo a Gizmodo que Snap tenía “salvaguardas” diseñadas para “detectar solicitudes fraudulentas de aplicación de la ley, incluso de cuentas pirateadas”.
El martes, el bloguero de ciberseguridad Brian Krebs en bancarrota las noticias sobre esta nueva y extraña tendencia de ciberdelincuencia, en la que los piratas informáticos utilizan sistemas de correo electrónico policiales comprometidos para enviar solicitudes de datos de “emergencia” fraudulentas a las empresas de tecnología. Tal peticiones, conocidos como EDR, son utilizados por la policía en situaciones sensibles al tiempo, de vida o muerte, y no requieren una orden judicial. Por lo tanto, a diferencia de otras citaciones, los EDR no involucran revisiones internas extensas y las empresas están más dispuestas a entregar datos rápidamente si la solicitud proviene de una agencia de cumplimiento de la ley acreditada. Desafortunadamente, las credenciales de inicio de sesión de correo electrónico de la policía se pueden comprar con relativa facilidad en la web oscura, lo que hace que esta práctica no sea un gran esfuerzo para el ciberdelincuente capacitado.
En su blog, Krebs proporciona al menos una instancia específica de esto, durante la cual los piratas informáticos convencieron con éxito a la plataforma de chat Discord para que entregara los datos de suscriptores de un usuario de Indiana de 18 años. Discord confirmó a Gizmodo que había proporcionado datos por error a un “actor malicioso” usando la cuenta de correo electrónico comprometida de un policía.
Una fuente de piratas informáticos también le dijo a Krebs que los ciberdelincuentes a menudo usarán los datos robados para cometer campañas de “acecho, piratería, acoso y humillación pública” contra sus víctimas.