По информации Bloomberg, в середине 2021 года хакеры использовали поддельные экстренные запросы данных Emergency Data Requests (EDR) для получения пользовательских данных Apple и Meta* включая номера телефонов и их IP-адреса. Как правило, для запросов пользовательских данных необходимо представить ордер на обыск или повестку в суд, подписанную судьей, однако для EDR этого не требуется. Таким образом, злоумышленники могут обойти тщательную проверку и получить доступ к информации.
Практически все крупные технологические компании, обслуживающие большое количество пользователей в Интернете, имеют отделы, которые регулярно рассматривают и обрабатывают запросы от правоохранительных органов, которые обычно удовлетворяются, если предоставляются надлежащие документы и запрос поступает с адреса электронной почты, связанного с реальным доменом полицейского управления.
Но в определенных обстоятельствах, например, в случае опасности причинения вреда или смерти, следственный орган может отправить EDR, который в значительной степени обходит любую официальную проверку и не требует от запрашивающей стороны предоставления каких-либо утвержденных судом документов. .
Журналист по кибербезопасности Брайан Кребс
назвал в своем блоге этот метод взлома очень эффективным. Он включает в себя компрометацию учетных записей электронной почты и веб-сайтов, связанных с полицейскими управлениями и государственными учреждениями, а затем отправку несанкционированных запросов на получение данных о пользователях, с утверждением, что запрашиваемая информация не может ждать решения суда, поскольку она связана с неотложным вопросом жизни и смерти.
Bloomberg сообщил, что хакеры, вероятно, взломали системы электронной почты правоохранительных органов, украли шаблоны для законных юридических запросов, подделали подписи и использовали их для обмана Apple и Meta*.
Согласно ежегодному отчету, Apple получила 1162 экстренных запроса данных из 29 стран с июля по декабрь 2020 года. По сообщению Bloomberg, Apple предоставила данные клиентов в ответ на 93% этих запросов.
Meta* заявила, что с января по июнь 2021 года по всему миру получила 21 700 таких запросов на экстренные данные и что она удовлетворила 77% из них.
По словам трех человек, упомянутых в отчете Bloomberg, за взломом в середине 2021 года предположительно стоит группа киберпреступников под названием «Recursion Team». Некоторые эксперты по кибербезопасности считают, что злоумышленников также являются частью Lapsus$, группы киберпреступников, которая взломала Samsung, Nvidia, Microsoft и другие компании.
Что Recursion Team сделала с данными, полученными с помощью Apple и Meta*? По мнению Кребса хакеры использовали полученную путем информацию для преследования и финансовых махинаций.
Текущая ситуация с мошенническими EDR иллюстрирует опасность полагаться исключительно на электронную почту для обработки законных запросов на получение конфиденциальных данных о пользователях. В июле 2021 года группа сенаторов США представила новый закон о борьбе с растущим использованием мошенниками и преступниками поддельных судебных постановлений. Законопроект предусматривает финансирование судов штатов для внедрения широкодоступной технологии цифровой подписи, которая соответствует стандартам, разработанным Национальным институтом стандартов и технологий.
«Поддельные судебные постановления, как правило, с использованием скопированных и вставленных подписей судей, использовались для санкционирования незаконного прослушивания телефонных разговоров и мошеннического удаления законных отзывов и веб-сайтов теми, кто пытался скрыть негативную информацию и прошлые преступления», — говорится в заявлении законодателей.
Закон о цифровой аутентичности судебных постановлений требует, чтобы федеральные суды и суды штатов использовали цифровую подпись для постановлений, разрешающих слежку, конфискацию доменов и удаление онлайн-контента.
*Meta – организация, признанная экстремистской и запрещенная на территории РФ