Meta, Apple trao nhầm quyền truy cập dữ liệu khách hàng cho tin tặc

Các nguồn tin thân cận cho biết, Apple và Meta, công ty mẹ của Facebook, đã cấp dữ liệu khách hàng các hacker giả danh quan chức nhà nước.

Theo hãng tin Bloomberg, Apple và Meta đã cung cấp thông tin chi tiết cơ bản về người đăng ký, như địa chỉ, số điện thoại và địa chỉ IP của khách hàng vào giữa năm 2021 để đáp ứng “yêu cầu dữ liệu khẩn cấp” từ kẻ mạo danh.

Thông thường, các yêu cầu như vậy chỉ được cung cấp kèm theo lệnh khám xét hoặc trát hầu tòa có chữ ký của thẩm phán. Tuy nhiên, yêu cầu khẩn cấp lại không cần lệnh của tòa án. Hiện tại, không rõ các công ty đã cung cấp dữ liệu bao nhiêu lần sau khi nhận được yêu cầu pháp lý giả mạo.

Theo báo cáo của Krebs on Security, các yêu cầu dữ liệu khẩn cấp giả mạo ngày càng trở nên phổ biến. Để thực hiện một cuộc tấn công, trước tiên hacker phải có quyền truy cập vào hệ thống email của sở cảnh sát. Sau đó chúng làm giả một yêu cầu dữ liệu khẩn cấp được gửi đi từ cơ quan pháp luật và mô tả những nguy cơ tiềm ẩn nếu phía doanh nghiệp không đáp ứng yêu cầu này ngay lập tức

Krebs cho biết một số tin tặc đang bán quyền truy cập vào email của chính phủ trực tuyến, nhắm mục tiêu vào các nền tảng mạng xã hội để mạo danh thực hiện các yêu cầu cung cấp dữ liệu khẩn cấp.

Các chuyên gia an ninh mạng nghi ngờ rằng một số hacker giả mạo là trẻ vị thành niên ở Anh và Mỹ. Theo đó, một trẻ vị thành niên cũng được cho là đứng đầu nhóm tội phạm Intermet Lapsus$, đã cùng những đồng bọn tấn công Microsoft, Samsung và Nvidia. Gần đây, cảnh sát thành phố London của Anh đã bắt giữ 7 người có liên quan đến cuộc điều tra về nhóm hacker Lapsus$.

Ngoài ra, có luồng ý kiện lại cho rằng chuỗi các vụ tấn công năm ngoái có thể do nhóm tội phạm mạng Recursion Team làm ra. Dù vậy, một số thành viên của nhóm này được cho là đã tham gia vào Lapsus$ sau khi Recursion Team tan rã.

Các quan chức đang điều tra cho biết, tin tặc đã truy cập vào tài khoản của các cơ quan thực thi pháp luật ở nhiều quốc gia và nhắm đến nhiều công ty trong vài tháng kể từ tháng 1/2021.

“Chúng tôi xem xét mọi yêu cầu dữ liệu về tính đầy đủ pháp lý và sử dụng các hệ thống, quy trình tiên tiến để xác thực các yêu cầu thực thi pháp luật đó có hợp pháp hay không, từ đó phát hiện đâu là hành vi lạm dụng”, Giám đốc truyền thông và chính sách của Meta Andy Stone cho biết trong một tuyên bố với The Verge.

Về phần mình, một đại diện của Apple đã gửi cho Bloomberg hướng dẫn thực thi pháp luật của hãng, trong đó nêu rõ: “Nếu chính phủ hoặc cơ quan thực thi pháp luật tìm kiếm dữ liệu khách hàng để đáp ứng Yêu cầu thông tin thực thi pháp luật khẩn cấp, thanh tra của chính phủ hoặc cơ quan thực thi pháp luật - người đã gửi yêu cầu - có thể được liên hệ và yêu cầu xác nhận với Apple về tính hợp pháp”.

Meta và Apple không phải là những công ty duy nhất bị ảnh hưởng bởi các yêu cầu giả mạo về cung cấp dữ liệu khẩn. Bloomberg cho biết hacker cũng đã liên hệ với Snap với một yêu cầu giả mạo tương tự, nhưng không rõ công ty có làm theo hay không. Báo cáo của Krebs on Security cũng bao gồm xác nhận từ Discord rằng nền tảng này đã cung cấp thông tin khách hàng để đáp lại một trong những yêu cầu từ hacker.

“Chiến thuật này gây ra một mối đe dọa đáng lo ngại trong ngành công nghệ”, Peter Day, giám đốc truyền thông doanh nghiệp của Discord cho biết trong một tuyên bố. “Chúng tôi sẽ liên tục đầu tư vào hệ thống Tin cậy & An toàn của mình để giải quyết các vấn đề mới nổi như này”.

Snap chưa có bình luận ngay lập tức về vụ việc, nhưng một đại diện cho biết công ty đã có biện pháp bảo vệ để phát hiện các yêu cầu gian lận.

Theo nguồn tin của Bloomberg, thông tin mà tin tặc thu được đã được dùng để phục vụ các chiến dịch gây rối. Thông thường, dữ liệu này có thể được sử dụng chủ yếu trong các kế hoạch gian lận tài chính. Các hacker có thể dựa trên thông tin của nạn nhân để vượt qua lớp bảo mật và truy cập tài khoản.