Apple e tante altre aziende tecnologiche sono state coinvolte in un inganno da parte di un gruppo di hacker che ha indotto le stesse compagnie a fornire i dati personali di alcuni utenti, compresi quelli di alcuni minori.
Alcune grandi aziende tecnologiche sono state ingannate dagli hacker al fine di ottenere informazioni personali sugli utenti, tra l’altro usate anche per estorcere contenuti di tipo sessuale a minorenni, stando a quanto affermano quattro ufficiali federali e due investigatori del settore. Si tratta di una vicenda di cui vi avevamo già parlato ma che ora viene maggiormente chiarita con minuzia di dettagli.
Le aziende che sarebbero state coinvolte includono Meta Platforms Inc., Apple Inc., Alphabet Inc., Snap Inc., Twitter Inc. e Discord Inc., stando a tre delle sei fonti che hanno scelto di restare anonime per parlare con franchezza del nuovo corso della criminalità online che coinvolge vittime minorenni.
Solitamente, le aziende rilasciano i dati dei clienti alle forze dell’ordine solo in presenza di un ordine del tribunale e, alle volte, nonostante il mandato, i dati che vengono forniti sono addirittura insufficienti o minori rispetto alle richieste. Ma allora, come è possibile che alcuni dati siano stati forniti così facilmente senza il mandato di un tribunale?
Dato che la procedura classica di richiesta dei dati richiede molto tempo e burocrazia, esiste una procedura da seguire in caso di emergenza, ovvero quando esiste il rischio concreto che ci possano essere danni o pericoli imminenti ad una o più persone. Solitamente, in questi casi, le aziende controllano che la richiesta provenga da un contatto legittimo delle forze dell’ordine e, in buona fede, forniscono le informazioni nell’ottica di aiutare concretamente gli utenti coinvolti.
Gli hacker avrebbero sfruttato questa procedura, predisposta per salvare i cittadini in imminente pericolo, per ottenere i dati degli utenti. Le fonti anonime riferiscono che l’attacco hacker inizia, solitamente, violando i sistemi di posta elettronica delle forze dell’ordine in modo che la fonte delle richieste appaia autentica.
Il metodo esatto degli attacchi varia da caso a caso ma gli hacker sfruttano diversi sistemi – come il phishing – per compromettere il sistema di posta elettronica delle forze dell’ordine e inviare alle aziende una richiesta, apparentemente autentica e legittima, di informazioni personali di un dato utente. Sfruttando la condizione di emergenza, come il pericolo imminente di omicidio, suicidio o rapimento, gli hacker possono ottenere nome, indirizzo IP, indirizzo fisico e indirizzo e-mail della vittima.
E se questi dati non sembrano tanto rilevanti ad un primo sguardo, in realtà sono sufficienti per consentire ulteriori attacchi e tentativi di phishing nei confronti delle vittime che, alle volte, sono anche minorenni.
Gli aggressori avrebbero quindi usato le informazioni ottenute per violare, successivamente, gli account online delle vittime – perlopiù donne o minori – oppure per fare amicizia e spingerle a divulgare foto sessualmente esplicite, stando a quanto affermato. Si ritiene, anche, che alcuni degli autori siano adolescenti come alcune vittime.
Bloomberg riferisce che alcuni dei casi sono stati estremi. Gli autori avrebbero minacciato di inviare il materiale sessualmente esplicito – fornito dalle vittime – agli amici, ai familiari e nell’ambito scolastico se non fossero state esaudite le loro richieste. In alcuni casi, sembrerebbe che le vittime siano state spinte a incidere il nome dell’autore sulla propria pelle e condividere la fotografia che provasse il gesto.
Un portavoce di Google ha dichiarato: “Nel 2021, abbiamo scoperto una richiesta di dati fraudolenta proveniente da malintenzionati che si sono finti funzionari governativi legittimi. Abbiamo rapidamente identificato un individuo che sembrava essere responsabile e informato le forze dell’ordine. Stiamo lavorando attivamente con le forze dell’ordine e altri nel settore per rilevare e prevenire richieste illegittime di dati”.
I lavoratori di Facebook esaminano ogni richiesta di dati e “utilizzano sistemi e processi avanzati per convalidare le richieste delle forze dell’ordine e rilevare gli abusi”, ha detto un portavoce. Allo stesso modo, Rachel Racusen, portavoce di Snap, ha affermato che la società esamina attentamente ogni richiesta che riceve dalle forze dell’ordine “per garantirne la validità e disporre di molteplici salvaguardie per rilevare richieste fraudolente”.
Un portavoce di Discord ha affermato che loro convalidano tutte le richieste di emergenza mentre Twitter e Apple hanno rifiutato di commentare.
Come afferma 9to5Mac, l’uso di false richieste di dati in casi di emergenza da parte di indirizzi e-mail legittimi delle forze dell’ordine è un enorme problema.
Il rischio che questa diventi una tattica sempre più comune esiste ed è concreto ma devono essere impiegate risorse per prevenire che ciò ricapiti.
“So che le richieste di dati di emergenza vengono utilizzate ogni giorno in situazioni pericolose della vita reale, ed è tragico che questo meccanismo venga abusato per sfruttare sessualmente i minori”, ha affermato Alex Stamos, ex chief security officer di Facebook che ora lavora come consulente. “I dipartimenti di polizia dovranno concentrarsi sulla prevenzione dagli attacchi con l’autenticazione a più fattori e una migliore analisi del comportamento degli utenti, mentre le aziende tecnologiche dovrebbero implementare una politica di richiamata di conferma e spingere le forze dell’ordine a utilizzare i loro portali dedicati in cui possono analizzare meglio le acquisizioni degli account”, ha detto Stamos.