Apple hat mit einem Trick personenbezogene Daten preisgegeben, die zur sexuellen Erpressung von Minderjährigen verwendet wurden
Wir haben letzten Monat erfahren, dass Apple dazu verleitet wurde, personenbezogene Daten an Hacker weiterzugeben, nachdem sie sich als Strafverfolgungsbeamte mit Notfalldatenanfragen ausgegeben hatten. Der Bericht enthüllte auch, dass die Daten für die sexuelle Erpressung von Minderjährigen verwendet worden waren.
Der neueste Bericht beleuchtet die Hacking-Techniken, mit denen Apple, Snap, Twitter und Facebook getäuscht wurden.
Hintergrund
Normalerweise geben Unternehmen Kundeninformationen erst dann an Strafverfolgungsbehörden weiter, wenn sie eine gerichtliche Anordnung erhalten. Selbst dann kann das Unternehmen die Anfrage sorgfältig prüfen und anbieten, nur einen Teil davon bereitzustellen.
Dieser Vorgang kann einige Zeit dauern. Es gibt auch ein Notfalldatenanforderungsverfahren, das verwendet werden kann, wenn ein Risiko für die Gesundheit oder Sicherheit einer oder mehrerer Personen besteht. In diesen Fällen überprüfen die Unternehmen, ob die Anfrage von einem legitimen Ansprechpartner der Strafverfolgungsbehörden stammt, liefern jedoch zuerst die Informationen und stellen später Fragen.
Hacker stellten gefälschte Notfallanfragen, um Apple und andere Unternehmen davon zu überzeugen, dass Benutzerdaten verfügbar waren. Der neue Bericht beschreibt, wie Daten missbraucht und Unternehmen ausgetrickst wurden.
Wie Apple betrogen wurde
Bloomberg berichtet, dass der Angriff im Allgemeinen darauf beruht, dass Hacker oder Phishing verwendet werden können, um Zugang zu E-Mail-Systemen der Strafverfolgungsbehörden zu erhalten, damit die Quelle der Anfragen echt erscheint.
Obwohl die genauen Angriffsmethoden unterschiedlich sind, folgen sie laut Polizeibeamten alle dem gleichen Muster. Der Täter kompromittiert das E-Mail-System der ausländischen Strafverfolgungsbehörde.
Der Angreifer erstellt dann eine „Notfallanfrage“ an ein Technologieunternehmen, um Informationen zu einem Benutzerkonto zu erhalten. Solche Anfragen werden von Strafverfolgungsbehörden verwendet, um Informationen über Online-Konten in Fällen mit unmittelbarer Gefahr wie Selbstmord, Mord oder Entführungen zu erhalten […]
Die von Ihnen bereitgestellten Daten sind von Unternehmen zu Unternehmen unterschiedlich, umfassen jedoch in der Regel Ihren Namen, Ihre Anschrift und Ihre E-Mail-Adresse. Einige Unternehmen stellen weitere Daten zur Verfügung.
Kaskadenangriff zur Erpressung von Opfern
Obwohl die Daten nicht nach viel klingen, liefern sie genügend Informationen, um weitere Hacks und Phishing-Angriffe gegen einzelne Opfer durchzuführen. Sowohl Täter als auch Opfer sollen Kinder sein.
Die Angreifer nutzten diese Informationen, um die Konten der Opfer online zu hacken oder sich mit den Opfern anzufreunden, bevor sie sie aufforderten, eindeutige Bilder zu senden. Laut vier der Personen sollen viele der Täter selbst Teenager sein, die in den USA und im Ausland leben.
Bloomberg berichtet, dass einige der Fälle entsetzlich extrem waren.
Die Täter haben damit gedroht, sexuell explizites Material, das vom Opfer bereitgestellt wurde, an ihre Freunde, Familienmitglieder und Schulverwalter zu senden, wenn sie den Forderungen nicht nachkommen, so die Bevölkerung. Die Täter wurden teilweise gezwungen, den Namen des Opfers auf der Haut sichtbar zu machen und Fotos zu machen
.
9to5Macs Take
Gefälschte Notfalldatenanfragen, die von legalen E-Mail-Adressen gesendet werden, sind ein ernstes Problem. Unternehmen können Schaden nehmen, wenn sie nicht reagieren. Sie laufen Gefahr, dass Hacker Zugriff auf personenbezogene Daten erhalten, wenn sie diese ohne weitere Prüfung freigeben. Sie können Opfern in echten Fällen möglicherweise nicht helfen, wenn sie zu lange auf detailliertere Überprüfungen warten.
Die offensichtliche Gefahr besteht darin, dass diese Taktik häufiger wird. Um dieses Verbrechen zu verhindern und aufzudecken, müssen erhebliche Ressourcen aufgewendet werden, und die Bestrafung muss die Schwere der möglichen Folgen widerspiegeln.
Foto: Alexander Krivitsky /Unsplash
Youtube einbetten