En un mot: Apple et la société mère de Facebook, Meta, ont transmis les données de leurs clients à un groupe de pirates qui se faisaient passer pour des responsables de l’application des lois, selon un nouveau rapport. Grâce aux demandes de données d’urgence, les criminels ont pu recueillir les adresses physiques, les numéros de téléphone et les adresses IP des clients.
Citant trois personnes connaissant le sujet, Bloomberg écrit qu’Apple et Meta répondaient à de faux formulaires de demande de données d’urgence (EDR). Alors que les demandes de données standard ne sont fournies que par un mandat ou un juge, les EDR, utilisés dans les cas où il existe un danger imminent, ne nécessitent pas d’ordonnance du tribunal. Selon le rapport, les informations volées ont été utilisées pour des stratagèmes frauduleux, pour accéder à des comptes et pour permettre des campagnes de harcèlement.
Snap Inc. aurait reçu l’une des fausses demandes légales, mais il n’est pas clair si la société a également fourni des informations aux pirates.
Les chercheurs en cybersécurité soupçonnent que certains des responsables de l’envoi des fausses demandes étaient des mineurs des États-Unis et du Royaume-Uni, dont l’un serait le même cerveau derrière le notoire groupe Lapsus $. L’adolescent a été récemment identifié et aurait pu être l’une des sept personnes arrêtées par la suite.
Les directives d’Apple indiquent que l’entreprise peut contacter le superviseur d’un responsable de l’application des lois pour vérifier qu’une demande est légitime, et Meta a déclaré qu’elle examine « chaque demande de données pour une suffisance légale et utilise des systèmes et des processus avancés pour valider les demandes des forces de l’ordre et détecter les abus ». Snap a déclaré qu’il avait également mis en place des garanties pour détecter les demandes frauduleuses.
Les pirates à l’origine des demandes falsifiées, dans le cadre d’une campagne de plusieurs mois ciblant plusieurs entreprises technologiques, auraient été affiliés à un groupe appelé Recursion Team. Bien que ce ne soit plus actif, d’anciens membres sont devenus des membres d’autres groupes, y compris Lapsus$.
Les demandes semblaient authentiques car les pirates ont compromis les systèmes de messagerie des forces de l’ordre pour voler les modèles de documents et ont souvent falsifié les signatures d’agents réels ou fictifs. Krebs sur la sécurité écrit que le groupe a soumis l’une des demandes à Discord, qu’il a satisfaite. La société affirme que si son « processus de vérification a confirmé que le compte des forces de l’ordre lui-même était légitime, nous avons appris plus tard qu’il avait été compromis par un acteur malveillant ».
