Apple e Meta hanno fornito a degli hacker diversi dati dei loro utenti. Le due aziende pensavano di star fornendo le informazioni alle forze dell’ordine.
Le aziende tecnologiche di norma forniscono informazioni sui loro utenti esclusivamente previa richiesta firmata da un giudice. Talvolta le forze dell’ordine possono bypassare questo requisito con quella che in gergo viene chiamata ‘emergency data request‘.
Gli hacker hanno sfruttato proprio questo strumento per chiedere ed ottenere informazioni su alcuni utenti. Il pacchetto di informazioni condivise include, tra le altre cose, il numero di telefono, l’indirizzo e l’IP dell’utente. In alcuni casi le aziende possono anche allegare una copia della corrispondenza dell’utente, se il servizio di messaggistica non è protetto da crittografia, oltre che l’identità delle persone con cui l’utente ha parlato negli ultimi mesi.
Gli hacker sono riusciti ad ingannare le due aziende falsificando alla perfezione i documenti normalmente utilizzati dalle forze di polizia per sollecitare le aziende a condividere i dati. Le stesse email provenivano da degli indirizzi legittimi di alcune agenzie di pubblica sicurezza, evidentemente compromessi dagli stessi hacker.
Sempre secondo le autorità, gli hacker sarebbero riusciti a capire come ingannare le aziende proprio ottenendo e studiando le email inviate in passato dalle forze dell’ordine a realtà come Facebook, Twitter e Apple. Non dovevano fare altro che imitare il contenuto delle emergency data request legittime in loro possesso. In alcuni casi le richieste presentavano anche la firma falsificata di un membro delle forze dell’ordine realmente esistente, rendendo ancora più complicato scoprire l’inganno.
Tanto per cambiare, le forze dell’ordine sospettano che dietro l’operazione ci siano alcuni criminali minorenni o poco più che adolescenti.
Oltra a Meta e Apple, anche Discord è finita vittima dell’inganno. Secondo le autorità, le informazioni ottenute in questo modo sarebbero state utilizzate per scopi diversi: dalle frodi finanziarie alle molestie nei confronti di singoli individui. I criminali avrebbero tentato di raggirare anche Snapchat, ma senza risultati.
L’attacco ha dimostrato tutti i limiti di questo sistema. Le forze dell’ordine possono ottenere informazioni sugli utenti molto facilmente e in assenza di un mandato. «Non esiste un sistema centrale e internazionale per gestire questo genere di solleciti», ha spiegato a Bloomberg un insider. «Ogni singola agenzia di pubblica sicurezza gestisce questo genere di richieste diversamente». Da ciò la confusione delle grandi aziende, che dovendo avere a che fare con dozzine di richieste provenienti da forze dell’ordine di mezzo mondo, non hanno gli strumenti per individuare efficacemente i tentativi di frode.
