Apple trompé en divulguant des données personnelles utilisées pour extorquer sexuellement des mineurs
Nous avons appris le mois dernier qu'Apple avait été amené à divulguer des données personnelles à des pirates après qu'ils se soient fait passer pour des responsables de l'application des lois avec des demandes de données d'urgence. Le rapport a également révélé que les données avaient été utilisées pour l'extorsion sexuelle de mineurs.
Le dernier rapport met en lumière les techniques de piratage utilisées pour tromper Apple, Snap, Twitter et Facebook.
Arrière-plan
Habituellement, les entreprises ne divulguent pas les informations sur les clients aux agents chargés de l'application des lois tant qu'elles n'ont pas reçu d'ordonnance du tribunal. Même dans ce cas, l'entreprise peut examiner attentivement la demande et proposer de n'en fournir qu'une partie.
Ce processus peut prendre du temps. Il existe également une procédure de demande de données d'urgence qui peut être utilisée lorsqu'il existe un risque pour la santé ou la sécurité d'une ou plusieurs personnes. Dans ces cas, les entreprises vérifient que la demande provient d'un contact légitime des forces de l'ordre, mais fournissent d'abord les informations et posent des questions plus tard.
Les pirates ont fait de fausses demandes d'urgence afin de convaincre Apple et d'autres entreprises que les données des utilisateurs étaient disponibles. Le nouveau rapport détaille comment les données ont été détournées et comment les entreprises ont été trompées.
Comment Apple a été dupé
Bloomberg rapporte que l'attaque repose généralement sur la possibilité d'utiliser le piratage ou le phishing pour accéder aux systèmes de messagerie des forces de l'ordre, de sorte que la source des demandes semble authentique.
Bien que les méthodes exactes d'attaques varient, elles ont toutes tendance à suivre le même schéma selon les forces de l'ordre. L'auteur compromet le système de messagerie électronique de l'organisme étranger chargé de l'application de la loi.
L'attaquant créera alors une "demande d'urgence" à une entreprise technologique cherchant des informations concernant un compte d'utilisateur. Ces demandes sont utilisées par les forces de l'ordre pour obtenir des informations sur le montant des comptes en ligne dans des affaires impliquant un danger imminent tel qu'un suicide, un meurtre ou un enlèvement […]
Les données que vous fournissez varient d'une entreprise à l'autre, mais elles contiennent généralement votre nom, votre adresse et votre adresse e-mail. Certaines entreprises fournissent plus de données.
Attaque en cascade utilisée pour extorquer les victimes
Bien que les données ne semblent pas très importantes, elles fournissent suffisamment d'informations pour permettre d'autres attaques de piratage et de phishing contre des victimes individuelles. Les auteurs et les victimes seraient des enfants.
Les attaquants ont utilisé ces informations pour pirater les comptes des victimes en ligne ou pour se lier d'amitié avec les victimes avant de leur demander d'envoyer des photos explicites. On pense que bon nombre des auteurs sont des adolescents eux-mêmes basés aux États-Unis et à l'étranger, selon quatre des personnes.
Bloomberg rapporte que certains des cas étaient horriblement extrêmes.
Les auteurs ont menacé d'envoyer du matériel sexuellement explicite fourni par la victime à leurs amis, aux membres de leur famille et aux administrateurs de l'école s'ils ne se conformaient pas aux demandes, selon les gens. Les auteurs ont parfois été contraints de rendre visible le nom de la victime sur sa peau et de prendre des photos
.
La prise de 9to5Mac
Les fausses demandes de données d'urgence envoyées à partir d'adresses e-mail légales constituent un problème sérieux. Les entreprises peuvent être lésées si elles ne répondent pas. Ils courent le risque que des pirates accèdent à des données personnelles s'ils les divulguent sans aucune vérification supplémentaire. Ils peuvent ne pas être en mesure d'aider les victimes dans des cas réels s'ils attendent trop longtemps pour des vérifications plus détaillées.
Le danger évident est que cette tactique devienne plus courante. Des ressources importantes doivent être consacrées à la prévention et à la détection de ce crime, et la sanction doit refléter la gravité des conséquences potentielles.
Photo: Alexandre Krivitski /Unsplash
youtube intégré