Apple e Meta fizeram o quê ?

Então exatamente o que aconteceu?

Funcionários da Apple e da Meta entregaram uma quantidade não revelada de dados de usuários a hackers que se passavam por policiais.

Hackers invadiram contas de e-mail da polícia e enviaram solicitações fraudulentas de dados de emergência (EDRs) da Apple e da Meta.

Eles entregaram nomes, números de telefone e endereços IP, que poderiam ser usados ​​para roubar os detalhes do cartão do usuário e hackear seu Apple Pay.

A Apple e a Meta possuem sistemas para validar solicitações da polícia, mas pode ser difícil para as empresas de tecnologia verificar os EDRs que exigem extrema urgência.

O que é um EDR?

A polícia pode solicitar a certas empresas uma solicitação de dados de emergência, ou EDR, quando alguém estiver potencialmente em perigo imediato. Os EDRs não exigem a assinatura de um juiz e provavelmente serão usados ​​em casos graves.

Os EDRs são criticados há muito tempo como uma brecha de privacidade de dados pronta para abuso por parte das autoridades. Mas esta é a primeira vez que ouvimos falar de hackers usando a brecha do EDR para roubar os dados das pessoas.

Supostos adolescentes Lapsus$ são presos

Na sexta-feira, 1º de abril de 2022, a polícia do Reino Unido anunciou que dois adolescentes foram acusados ​​de crimes de hackers que podem estar ligados ao hack da Apple e Meta. Sete outros com idades entre dezessete e vinte e um estão sob investigação por crimes semelhantes que podem estar ligados à notória gangue de hackers, Lapsus$.

Os dois adolescentes, um de 16 e um de 17 anos, enfrentam três acusações de acesso não autorizado a um computador com a intenção de prejudicar a confiabilidade dos dados, uma acusação de fraude por falsa representação e uma acusação de acesso a um computador com a intenção de impedir o acesso aos dados. O jovem de 16 anos também enfrenta uma acusação de “fazer com que um computador execute uma função para proteger o acesso não autorizado a um programa”.

O que é o grupo de hackers Lapsus$?

Lapsus$ é uma gangue de cibercriminosos que, em questão de meses, aterrorizou e prendeu algumas das maiores empresas de tecnologia em busca de resgate . Okta, Microsoft, Nvidia, Ubisoft, Samsung e Vodafone tiveram centenas de arquivos internos, código-fonte e dados do consumidor despejados online pelo Lapsus$.

Notórios por seu impacto severo e de longo alcance, as feridas dos hacks Lapsus$ são sentidas por centenas de outras empresas parceiras. Por exemplo, quando o Lapsus$ hackeou o Okta, cerca de 366 empresas possivelmente foram impactadas pelo ataque. Outras empresas-vítimas tiveram projetos com Apple, Google Cloud, Slack, Polícia Metropolitana de Londres e Polícia da Cidade de Londres (o departamento de polícia que acabou de prender um suposto membro da Lapsus$).

O que podemos aprender?

Se os funcionários da Apple e da Meta foram enganados tão facilmente por uma mensagem de um endereço de e-mail da polícia, então temos que começar a olhar para nós mesmos. Sim, os procedimentos de verificação são vitais na segurança cibernética, mas os funcionários costumam ser o elo mais fraco.

Supondo que Lapsus$ fosse responsável pelo ataque à Apple e Meta, tudo o que precisava fazer era enviar um e-mail com aparência urgente de uma conta de e-mail legítima da polícia para roubar os detalhes pessoais dos usuários. Truques ou ataques de engenharia social como esses são (com o risco de soar jocoso) uma das maneiras mais econômicas de hackear.

Um de nossos próprios pesquisadores de segurança foi rápido em comentar sobre as falhas de segurança da Apple e da Meta, lembrando-nos que, “O fato de que os menores foram capazes de explorar uma brecha é o motivo pelo qual o processo de como as empresas cooperam com a aplicação da lei deve ser rigoroso e claro. definiram."