Apple, Facebook in drugi osebne podatke posredovali hekerjem

Matej Huš

3. apr 2022 ob 01:44:44

Po neuradnih informacijah sta Apple in Facebook (Meta) v nekaterih primerih izročila osebne podatke uporabnikov kar hekerjem, ki so se pretvarjali, da so organi pregona. Šlo je za osnovne osebne podatke, ki so vsebovali osebna imena, telefonske številke in naslove IP. Hekerji so izkoristili koncept izrednih zahtevkov EDR (emergency data requests).

Medtem ko so za izročitev podatkov običajno potrebne sodne odredbe, je EDR namenjen izrednim situacijam, ko za to ni časa, denimo ob ugrabitvah otrok. Da so EDR problematični, so varuhi zasebnosti ponavljali že dlje časa, a je bila bojazen uperjena proti zlorabam, ki bi jih zagrešile preveč radovedne države. To pot pa se je prvikrat zgodilo, da so EDR-je poslali kar hekerji. Nekateri so bili celo člani zloglasne skupine Lapsus$.

Čeprav Apple in Facebook uradno nista priznala, da se je incident zgodil, pa je to potrdil Discord. Vsa podjetja pa so potrdila, da imajo specializirane sisteme za izpolnjevanje EDR, kamor se sider pride po posebni platformi, a spremljajo tudi elektronsko pošto. Hekerji so napadli z legitimnih naslovov, ki so bili pripadali organom pregona, a so uspeli vdreti vanje. EDR sicer niso eksotika, saj je Apple v drugi polovici leta 2020 prejel 1162 EDR iz 29 držav, Facebook pa v prvem lanskem polletju 21.700. Slednji jih je odobril 77 odstotkov.