Apple और Meta ने फर्जी कानूनी अनुरोध करने वाले हैकर्स को उपयोगकर्ता डेटा दिया

मामले की जानकारी रखने वाले तीन लोगों के अनुसार, ऐप्पल इंक और फेसबुक की मूल कंपनी मेटा प्लेटफॉर्म्स इंक ने हैकर्स को ग्राहक डेटा प्रदान किया, जो कानून प्रवर्तन अधिकारियों के रूप में थे।

नकली “आपातकालीन डेटा अनुरोधों” के जवाब में, ऐप्पल और मेटा ने 2021 के मध्य में ग्राहक का पता, फोन नंबर और आईपी पता जैसे बुनियादी ग्राहक विवरण प्रदान किए। आम तौर पर, इस तरह के अनुरोध केवल लोगों के अनुसार एक न्यायाधीश द्वारा हस्ताक्षरित एक तलाशी वारंट या सम्मन के साथ प्रदान किए जाते हैं। हालाँकि, आपातकालीन अनुरोधों के लिए न्यायालय के आदेश की आवश्यकता नहीं होती है।

स्नैप इंक को उसी हैकर्स से एक जाली कानूनी अनुरोध प्राप्त हुआ, लेकिन यह ज्ञात नहीं है कि कंपनी ने जवाब में डेटा प्रदान किया था या नहीं। यह भी स्पष्ट नहीं है कि कंपनियों ने कितनी बार जाली कानूनी अनुरोधों से संकेतित डेटा प्रदान किया।

साइबर सुरक्षा शोधकर्ताओं को संदेह है कि जाली अनुरोध भेजने वाले कुछ हैकर यूके और यूएस में स्थित नाबालिग हैं। नाबालिगों में से एक को साइबर अपराध समूह लैप्सस $ के पीछे का मास्टरमाइंड भी माना जाता है, जिसने माइक्रोसॉफ्ट कॉर्प, सैमसंग इलेक्ट्रॉनिक्स कंपनी और एनवीडिया को हैक किया था। कार्पोरेशन, दूसरों के बीच में, लोगों ने कहा। सिटी ऑफ़ लंदन पुलिस ने हाल ही में लैप्सस$ हैकिंग समूह की जाँच के सिलसिले में सात लोगों को गिरफ्तार किया है; जांच जारी है।

Apple के एक प्रतिनिधि ने ब्लूमबर्ग न्यूज को उसके कानून प्रवर्तन दिशानिर्देशों के एक भाग में संदर्भित किया।

Apple द्वारा संदर्भित दिशा-निर्देशों में कहा गया है कि सरकार या कानून प्रवर्तन एजेंट के लिए एक पर्यवेक्षक जिसने अनुरोध प्रस्तुत किया था, “संपर्क किया जा सकता है और Apple को यह पुष्टि करने के लिए कहा जा सकता है कि आपातकालीन अनुरोध वैध था,” Apple दिशानिर्देश कहता है।

मेटा के प्रवक्ता एंडी स्टोन ने एक बयान में कहा, “हम कानूनी पर्याप्तता के लिए हर डेटा अनुरोध की समीक्षा करते हैं और कानून प्रवर्तन अनुरोधों को मान्य करने और दुरुपयोग का पता लगाने के लिए उन्नत प्रणालियों और प्रक्रियाओं का उपयोग करते हैं।” “हम ज्ञात समझौता किए गए खातों को अनुरोध करने से रोकते हैं और संदिग्ध धोखाधड़ी अनुरोधों से जुड़ी घटनाओं का जवाब देने के लिए कानून प्रवर्तन के साथ काम करते हैं, जैसा कि हमने इस मामले में किया है।”

स्नैप ने मामले पर तत्काल कोई टिप्पणी नहीं की, लेकिन एक प्रवक्ता ने कहा कि कंपनी के पास कानून प्रवर्तन से धोखाधड़ी के अनुरोधों का पता लगाने के लिए सुरक्षा उपाय हैं।

दुनिया भर के कानून प्रवर्तन नियमित रूप से सोशल मीडिया प्लेटफॉर्म से आपराधिक जांच के हिस्से के रूप में उपयोगकर्ताओं के बारे में जानकारी मांगते हैं। अमेरिका में, इस तरह के अनुरोधों में आमतौर पर एक न्यायाधीश से हस्ताक्षरित आदेश शामिल होता है। आपातकालीन अनुरोधों का उपयोग आसन्न खतरे के मामलों में किया जाना है और इस पर किसी न्यायाधीश को हस्ताक्षर करने की आवश्यकता नहीं है।

जांच में शामिल तीन लोगों के अनुसार, “रिकर्सन टीम” के रूप में जाने जाने वाले साइबर क्राइम समूह से जुड़े हैकर्स को कुछ जाली कानूनी अनुरोधों के पीछे माना जाता है, जो 2021 में कंपनियों को भेजे गए थे।

लोगों ने कहा कि रिकर्सन टीम अब सक्रिय नहीं है, लेकिन इसके कई सदस्य अलग-अलग नामों से हैक करना जारी रखते हैं, जिसमें लैप्सस $ का हिस्सा भी शामिल है।

पूछताछ से परिचित लोगों में से एक के अनुसार, जाली कानूनी अनुरोधों का उपयोग करके हैकर्स द्वारा प्राप्त जानकारी का उपयोग उत्पीड़न अभियानों को सक्षम करने के लिए किया गया है। तीन लोगों ने कहा कि इसका इस्तेमाल मुख्य रूप से वित्तीय धोखाधड़ी योजनाओं को सुविधाजनक बनाने के लिए किया जा सकता है। पीड़ित की जानकारी जानकर, हैकर्स खाते की सुरक्षा को बायपास करने के प्रयास में सहायता के लिए इसका इस्तेमाल कर सकते हैं।

लक्षित लोगों की पहचान की रक्षा के लिए ब्लूमबर्ग घटनाओं के कुछ विशिष्ट विवरणों को छोड़ रहा है।

कपटपूर्ण कानूनी अनुरोध एक महीने के लंबे अभियान का हिस्सा हैं, जिसने कई प्रौद्योगिकी कंपनियों को लक्षित किया और दो लोगों के अनुसार जनवरी 2021 की शुरुआत में शुरू हुआ। माना जाता है कि जाली कानूनी अनुरोध कई देशों में कानून प्रवर्तन एजेंसियों से संबंधित हैक किए गए ईमेल डोमेन के माध्यम से भेजे गए थे, तीन लोगों और मामले की जांच करने वाले एक अतिरिक्त व्यक्ति के अनुसार।

जाली अनुरोध वैध दिखने के लिए किए गए थे। दो लोगों के अनुसार, कुछ उदाहरणों में, दस्तावेजों में वास्तविक या काल्पनिक कानून प्रवर्तन अधिकारियों के जाली हस्ताक्षर शामिल थे। कानून प्रवर्तन ईमेल सिस्टम से समझौता करके, हैकर्स को वैध कानूनी अनुरोध मिल सकते हैं और लोगों में से एक के अनुसार, उन्हें जालसाजी बनाने के लिए एक टेम्पलेट के रूप में इस्तेमाल किया जा सकता है।

साइबर फर्म यूनिट 221बी के मुख्य शोध अधिकारी एलिसन निक्सन ने कहा, “हर मामले में जहां इन कंपनियों ने गड़बड़ी की, इसके मूल में एक व्यक्ति सही काम करने की कोशिश कर रहा था।” “मैं आपको यह नहीं बता सकता कि कितनी बार ट्रस्ट और सुरक्षा टीमों ने चुपचाप लोगों की जान बचाई है क्योंकि कर्मचारियों के पास एक उपयोगकर्ता के लिए सामने आने वाली दुखद स्थिति का तेजी से जवाब देने के लिए कानूनी लचीलापन था।”

मंगलवार को, क्रेब्स ऑन सिक्योरिटी ने बताया कि हैकर्स ने सोशल मीडिया प्लेटफॉर्म डिस्कॉर्ड से जानकारी प्राप्त करने के लिए एक आपातकालीन डेटा अनुरोध किया था। ब्लूमबर्ग को दिए एक बयान में, डिस्कॉर्ड ने पुष्टि की कि उसने एक जाली कानूनी अनुरोध भी पूरा किया है।

डिस्कॉर्ड ने एक बयान में कहा, “हम इन अनुरोधों की जांच करके सत्यापित करते हैं कि वे एक वास्तविक स्रोत से आए हैं, और इस उदाहरण में ऐसा किया है।” “जबकि हमारी सत्यापन प्रक्रिया ने पुष्टि की कि कानून प्रवर्तन खाता ही वैध था, हमें बाद में पता चला कि इसमें एक दुर्भावनापूर्ण अभिनेता द्वारा समझौता किया गया था। हमने तब से इस अवैध गतिविधि की जांच की है और छेड़छाड़ किए गए ईमेल खाते के बारे में कानून प्रवर्तन को अधिसूचित किया है।”

ऐप्पल और मेटा दोनों आपातकालीन डेटा अनुरोधों के अनुपालन पर डेटा प्रकाशित करते हैं। जुलाई से दिसंबर 2020 तक, Apple को 29 देशों से 1,162 आपातकालीन अनुरोध प्राप्त हुए। अपनी रिपोर्ट के अनुसार, Apple ने उन अनुरोधों में से 93% के जवाब में डेटा प्रदान किया।

मेटा ने कहा कि उसे जनवरी से जून 2021 तक वैश्विक स्तर पर 21,700 आपातकालीन अनुरोध प्राप्त हुए और 77% अनुरोधों के जवाब में कुछ डेटा प्रदान किया।

“आपात स्थिति में, कानून प्रवर्तन कानूनी प्रक्रिया के बिना अनुरोध प्रस्तुत कर सकता है,” मेटा अपनी वेबसाइट पर बताता है। “परिस्थितियों के आधार पर, हम स्वेच्छा से कानून प्रवर्तन को जानकारी का खुलासा कर सकते हैं जहां हमारे पास यह विश्वास करने का एक अच्छा विश्वास कारण है कि इस मामले में गंभीर शारीरिक चोट या मृत्यु का आसन्न जोखिम शामिल है।”

कंपनियों से डेटा का अनुरोध करने की प्रणाली विभिन्न ईमेल पतों और कंपनी पोर्टलों का एक पैचवर्क है। कानूनी अनुरोधों को पूरा करना जटिल हो सकता है क्योंकि दुनिया भर में छोटे पुलिस विभागों से लेकर संघीय एजेंसियों तक, हजारों विभिन्न कानून प्रवर्तन एजेंसियां ​​​​हैं। उपयोगकर्ता डेटा के अनुरोध और जारी करने से संबंधित विभिन्न न्यायालयों में अलग-अलग कानून हैं।

“इन चीजों को जमा करने के लिए कोई एक प्रणाली या केंद्रीकृत प्रणाली नहीं है,” साइबर सुरक्षा फर्म रिकॉर्डेड फ्यूचर इंक के एक निदेशक और होमलैंड सिक्योरिटी विभाग में पूर्व साइबर प्रोग्राम लीड जेरेड डेर-येघियायन ने कहा। “हर एक एजेंसी उन्हें अलग तरह से संभालती है।”

डेर-येघियान ने कहा कि मेटा और स्नैप जैसी कंपनियां कानूनी अनुरोध भेजने के लिए कानून प्रवर्तन के लिए अपने स्वयं के पोर्टल संचालित करती हैं, लेकिन फिर भी ईमेल द्वारा अनुरोध स्वीकार करती हैं और 24 घंटे अनुरोधों की निगरानी करती हैं।

Apple के कानूनी दिशानिर्देशों के अनुसार, Apple Apple.com ईमेल पते पर उपयोगकर्ता डेटा के लिए कानूनी अनुरोध स्वीकार करता है, “बशर्ते यह अनुरोध करने वाली एजेंसी के आधिकारिक ईमेल पते से प्रेषित हो।”

दुनिया भर में कानून प्रवर्तन के ईमेल डोमेन से समझौता करना कुछ मामलों में अपेक्षाकृत सरल है, क्योंकि इन खातों की लॉगिन जानकारी ऑनलाइन आपराधिक बाजारों में बिक्री के लिए उपलब्ध है।

साइबर सुरक्षा फर्म रेसिक्योरिटी, इंक के मुख्य कार्यकारी अधिकारी जीन यू ने कहा, “डार्क वेब भूमिगत दुकानों में कानून प्रवर्तन एजेंसियों के समझौता किए गए ईमेल खाते हैं, जिन्हें संलग्न कुकीज़ और मेटाडेटा के साथ $ 10 से $ 50 तक कहीं भी बेचा जा सकता है।”

यू ने कहा कि माइक्रोसॉफ्ट एक्सचेंज ईमेल सर्वर में पहले से अज्ञात कमजोरियों के परिणामस्वरूप पिछले साल कई कानून प्रवर्तन एजेंसियों को लक्षित किया गया था, “आगे घुसपैठ की ओर अग्रसर।”

यूनिट 221बी के निक्सन ने कहा कि हैक किए गए कानून प्रवर्तन ईमेल सिस्टम से भेजे गए जाली कानूनी अनुरोधों के उपयोग का एक संभावित समाधान खोजना मुश्किल होगा।

“स्थिति बहुत जटिल है,” उसने कहा। “इसे ठीक करना डेटा के प्रवाह को बंद करने जितना आसान नहीं है। ऐसे कई कारक हैं जिन पर हमें पूरी तरह से गोपनीयता को अधिकतम करने से परे विचार करना होगा। ”