Sembra un film di spionaggio, in realtà è tutto vero. Aziende come Apple, Facebook, Discord e Snap hanno consegnato per errore alcuni dati degli utenti iscritti alle rispettive piattaforme. A chi? Ai criminali informatici che li avevano richiesti. E com’è potuto accadere?
Si chiamano Emergency Data Request le richieste avanzate dalle forze di polizia e dagli enti governativi per avviare controlli su specifici soggetti in seguito ad esempio all’avvio di procedimenti giudiziari
In estrema sintesi, stando a quanto riferisce Bloomberg, un gruppo di criminali informatici avrebbe utilizzato account email appartenenti a forze dell’ordine che erano stati precedentemente violati per inviare Emergency Data Request alle aziende citate nell’introduzione.
Dato che non esiste alcun sistema centralizzato per la gestione delle Emergency Data Request, ogni agenzia le invia e le elabora in modo differente.
Gli aggressori si sono quindi spacciati per varie forze di polizia e richiedere la condivisione di informazioni personali relative a specifici utenti al fine di “facilitare schemi di frode finanziaria“.
Un portavoce di Discord ha dichiarato: “possiamo confermare che Discord ha ricevuto richieste da un dominio legittimo appartenente alle forze dell’ordine e ha soddisfatto le richieste in conformità con le nostre politiche. Verifichiamo che le richieste provengano da una fonte legittima e lo abbiamo fatto anche in questo caso. Mentre il nostro processo di verifica ha confermato che l’account delle forze dell’ordine era legittimo, abbiamo poi appreso che era stato compromesso da parte di criminali informatici. Abbiamo quindi condotto un’indagine su questa attività illegale e abbiamo informato le forze dell’ordine sull’account email compromesso“.
“Questa tattica rappresenta una minaccia significativa per l’intera industria tecnologica“, ha aggiunto Peter Day, manager del gruppo Discord. “Stiamo continuamente investendo nelle nostre capacità di Trust & Safety per affrontare problematiche di questo tipo“.
Anche Meta-Facebook, Apple e Snap, pur non scendendo nei particolari, hanno confermato che la provenienza delle Emergency Data Request viene sempre attentamente vagliata, confermando di fatto la natura dell’incidente.
La condivisione dei dati con gli aggressori sarebbe avvenuta intorno a metà 2021 con le varie aziende, seppur manchino ancora conferme ufficiali, che avrebbero rilasciato informazioni sugli indirizzi IP pubblici usati da alcuni utenti, sui loro numeri di telefono e indirizzi di residenza.
Secondo il noto giornalista Brian Krebs alcuni hacker stanno vendendo l’accesso alle email di enti governativi online, in particolare con lo scopo di prendere di mira le piattaforme social con false richieste come quelle di specie.
Alcuni ricercatori suggeriscono che, dalle prime analisi, alcune delle persone coinvolte in questo attacco potrebbero essere membri del famigerato gruppo Lapsus$.
La serie di attacchi dell’anno scorso potrebbe essere stata eseguita dai membri di un gruppo di criminali informatici chiamato Recursion Team. Anche se il gruppo si è sciolto, alcuni di loro si sono uniti a Lapsus$ usando nomi diversi.
I funzionari coinvolti nell’indagine hanno dichiarato a Bloomberg che gli hacker hanno avuto accesso agli account delle forze dell’ordine in più Paesi e hanno preso di mira molte aziende.