By 
Apple y Meta, la empresa matriz de Facebook, entregaron datos de clientes a piratas informáticos que se hicieron pasar por agentes de la ley, según fuentes cercanas al asunto.
Las afirmaciones fueron reportadas por primera vez por Bloomberg.
Al parecer, los gigantes tecnológicos facilitaron a mediados de 2021 los datos básicos de los suscriptores, incluidas las direcciones de los clientes, los números de teléfono y las direcciones IP. Proporcionaron los detalles en respuesta a una “solicitud de datos de emergencia” que había sido falsificada.
Según las fuentes, estas solicitudes sólo se facilitan normalmente cuando un juez firma una orden de registro o una citación judicial. Las solicitudes de emergencia no requieren una orden judicial.
Según los investigadores de ciberseguridad, algunos de los hackers que obtuvieron la información podrían ser menores de edad en el Reino Unido y en Estados Unidos. Se cree que uno de esos hackers es el jefe de un grupo de ciberdelincuentes llamado Lapsus$, que anteriormente hackeó a Microsoft, Samsung y Nvidia, entre otros.
La policía londinense ha detenido a siete hackers relacionados con una investigación sobre el grupo, y la investigación sigue en marcha.
Bloomberg se puso en contacto con Apple para pedirle comentarios, y la empresa remitió a los periodistas a sus directrices corporativas sobre el cumplimiento de la ley.
Según las directrices de la empresa, Apple puede ponerse en contacto con el supervisor de cualquier organismo policial que presente una solicitud de emergencia para determinar si la solicitud es legítima.
Meta proporcionó la siguiente declaración a Bloomberg reporteros.
“Revisamos cada solicitud de datos para comprobar su suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de las fuerzas del orden y detectar abusos”, dijo el portavoz de Meta, Andy Stone, al medio. “Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas de seguridad para responder a los incidentes que implican solicitudes presuntamente fraudulentas, como hemos hecho en este caso.”
Las directrices de Meta establecen que, cuando se le solicite, puede proporcionar los datos de los usuarios a las fuerzas del orden si tienen una “razón de buena fe” para pensar que la solicitud implica un asunto de “riesgo inminente.”
“En casos de emergencia, las fuerzas del orden pueden presentar solicitudes sin proceso legal”, dicen las directrices de Meta. “En función de las circunstancias, podemos revelar voluntariamente información a las fuerzas de seguridad cuando tengamos una razón de buena fe para pensar que el asunto implica un riesgo inminente de lesiones físicas graves o de muerte.”
Según Krebs on Securitylos hackers habían falsificado una solicitud de datos de emergencia de Discord, una plataforma de medios sociales utilizada principalmente por los jugadores y otras comunidades de nicho.
Discord proporcionó una declaración al medio.
“Verificamos estas solicitudes comprobando que provienen de una fuente genuina, y así lo hicimos en este caso”, dijo Discord en el comunicado. “Aunque nuestro proceso de verificación confirmó que la cuenta de las fuerzas del orden en sí era legítima, más tarde supimos que había sido comprometida por un actor malicioso. Desde entonces hemos llevado a cabo una investigación sobre esta actividad ilegal y hemos notificado a las fuerzas del orden sobre la cuenta de correo electrónico comprometida.”
Comments