Apple engañada para que divulgue datos personales utilizados para extorsionar sexualmente a menores

Por: Philippa Axinous | 27.04.2022, 16:25

Supimos el mes pasado que Apple fue engañada para que revelara datos personales a los piratas informáticos, después de que se hicieran pasar por agentes del orden con solicitudes de datos de emergencia. El informe también reveló que los datos habían sido utilizados para la extorsión sexual de menores.

El último informe arroja luz sobre las técnicas de piratería utilizadas para engañar a Apple, Snap, Twitter y Facebook.

Fondo

Por lo general, las empresas no divulgarán la información del cliente a los agentes del orden público hasta que reciban una orden judicial. Incluso entonces, la empresa puede revisar cuidadosamente la solicitud y ofrecer brindar solo una parte de la misma.

Este proceso puede llevar tiempo. También existe un procedimiento de solicitud de datos de emergencia que se puede utilizar cuando existe un riesgo para la salud o la seguridad de una o varias personas. En estos casos, las empresas verifican que la solicitud provenga de un contacto legítimo de las fuerzas del orden, pero primero brindan la información y luego hacen las preguntas.

Los piratas informáticos hicieron solicitudes de emergencia falsas para convencer a Apple y otras empresas de que los datos de los usuarios estaban disponibles. El nuevo informe detalla cómo se apropiaron indebidamente los datos y cómo se engañó a las empresas.

Cómo engañaron a Apple

Bloomberg informa que el ataque generalmente se basa en poder usar piratería o phishing para obtener acceso a los sistemas de correo electrónico de las fuerzas del orden, de modo que la fuente de las solicitudes parezca genuina.

Aunque los métodos exactos de los ataques varían, todos tienden a seguir el mismo patrón según los agentes del orden. El perpetrador compromete el sistema de correo electrónico de la agencia de aplicación de la ley extranjera.

Luego, el atacante creará una "solicitud de emergencia" para una empresa de tecnología que busca información sobre una cuenta de usuario. Las fuerzas del orden utilizan estas solicitudes para obtener información sobre cuentas en línea en casos que implican un peligro inminente, como suicidio, asesinato o secuestros […]

Los datos que proporciona varían de una empresa a otra, pero generalmente contienen su nombre, dirección y dirección de correo electrónico. Algunas empresas proporcionan más datos.

Ataque en cascada utilizado para extorsionar a las víctimas

Aunque los datos no parecen ser demasiado, proporcionan suficiente información para permitir que se lleven a cabo más ataques de piratería y phishing contra víctimas individuales. Se informa que tanto los perpetradores como las víctimas incluyen niños.

Los atacantes utilizaron esta información para piratear las cuentas de las víctimas en línea o para hacerse amigos de las víctimas antes de pedirles que enviaran imágenes explícitas. Se cree que muchos de los perpetradores son adolescentes en los EE. UU. y en el extranjero, según cuatro de las personas.

Bloomberg informa que algunos de los casos fueron terriblemente extremos.

Los perpetradores han amenazado con enviar material sexualmente explícito proporcionado por la víctima a sus amigos, familiares y administradores escolares si no cumplen con las demandas, según las personas. En ocasiones, los perpetradores se han visto obligados a hacer visible el nombre de la víctima en su piel y a tomar fotografías.

.

Toma de 9to5Mac

Las solicitudes falsas de datos de emergencia enviadas desde direcciones de correo electrónico legales son un problema grave. Las empresas pueden verse perjudicadas si no responden. Corren el riesgo de que los piratas informáticos obtengan acceso a los datos personales si los liberan sin controles adicionales. Es posible que no puedan ayudar a las víctimas en casos reales si esperan demasiado para verificaciones más detalladas.

El peligro evidente es que esta táctica se vuelve más común. Es necesario dedicar recursos significativos a la prevención y detección de este delito, y el castigo debe reflejar la gravedad de las posibles consecuencias.

Foto: Alexander Krivitsky /Unsplash

incrustar youtube