Theo Bloomberg, Apple và Meta, công ty mẹ của Facebook, đã vô tình cung cấp dữ liệu mật của khách hàng cho các hackers giả danh quan chức thực thi pháp luật. Rất nhiều thông tin người dùng cơ bản, chẳng hạn như địa chỉ, số điện thoại và địa chỉ IP theo đó đã bị rò rỉ từ giữa năm 2021 để phục vụ cho những “yêu cầu dữ liệu khẩn cấp” giả mạo. Thông thường, những yêu cầu như vậy chỉ được phép công khai nếu công ty đang chịu lệnh khám xét hoặc trát đòi hầu tòa có chữ ký thẩm phán. Hiện vẫn chưa rõ Apple và Meta đã cung cấp bao nhiêu dữ liệu cho các yêu cầu pháp lý giả mạo đó.
Theo các chuyên gia nghiên cứu an ninh mạng, hackers lần này có thể là những trẻ vị thành niên tại Anh và Mỹ, trong đó có nhóm tội phạm mạng Lapsus $ trước đây đã tấn công Microsoft, Samsung và Nvidia. Cảnh sát thành phố London mới đây cũng đã bắt giữ 7 nghi phạm liên quan đến nhóm hacker trên và cuộc điều tra vẫn đang diễn ra.
“Chúng tôi đã xem xét tính chất pháp lý của các yêu cầu dữ liệu và phát hiện ra các hành vi lạm dụng”, đại diện Meta, Andy Stone cho biết trong một tuyên bố. “Chúng tôi đã chặn các tài khoản bị xâm phạm và làm việc với các cơ quan thực thi pháp luật để giải quyết sự cố trên”.
Bước đầu điều tra, được biết các hacker đã liên kết với một số người thuộc nhóm tội phạm mạng “Recursion Team” và thực hiện nhiều các yêu cầu pháp lý giả mạo trong suốt năm 2021. Dù nhóm này không còn chính thức hoạt động, song các thành viên nhỏ lẻ vẫn tiếp tục thực hiện những hành vi phạm pháp dưới nhiều cái tên khác nhau, trong đó có cả Lapsus $.
Thông tin mà chúng thu thập sau đó đã được sử dụng để kích hoạt các chiến dịch quấy rối và âm mưu gian lận tài chính bằng cách vượt qua lớp bảo mật tài khoản. Tờ Bloomberg hiện chưa công bố danh tính các nạn nhân.
Đại diện cơ quan điều tra cho biết các yêu cầu pháp lý giả mạo chỉ là một phần trong chiến dịch kéo dài suốt nhiều tháng nhằm vào các công ty công nghệ, bắt đầu từ tháng 1/2021. Những yêu cầu này đều được gửi qua các miền email bị mã độc tấn công và có liên quan tới nhiều cơ quan thực thi pháp luật tại một số quốc gia. Nhờ xâm nhập thành công hệ thống email này, các hacker đã tìm thấy các yêu cầu pháp lý hợp pháp và sử dụng chúng để phục vụ cho mục đích lừa đảo.
Allison Nixon, Giám đốc nghiên cứu công ty mạng Unit 221B, cho biết: “Mỗi khi các công ty gặp vấn đề với các hacker, đội ngũ an ninh mạng cốt lõi đóng vai trò quan trọng. Không thể đếm được bao nhiêu lần họ đã lặng lẽ cứu các tài khoản và nhanh chóng ứng phó với những tình huống tồi tệ như vậy’’.
Hôm qua, Krebs on Security cũng cho biết các hackers đã lợi dụng các yêu cầu giả mạo để lấy thông tin từ nền tảng truyền thông xã hội Discord. Trong một tuyên bố với Bloomberg, Discord xác nhận sự vụ trên.
“Chúng tôi ban đầu xác minh và nghĩ chúng là hợp pháp. Sau khi biết thông tin đã bị kẻ xấu xâm phạm, chúng tôi lập tức tiến hành một cuộc điều tra về hoạt động bất hợp pháp này và thông báo cho cơ quan thực thi pháp luật những tài khoản email đã bị lợi dụng”, đại diện Discord nói.
Bloomberg cho biết từ tháng 7 đến tháng 12/2020, Apple đã nhận được 1.162 yêu cầu khẩn cấp từ 29 quốc gia, sau đó cung cấp dữ liệu để đáp ứng 93% các yêu cầu. Theo nguyên tắc của tập đoàn, Apple sẽ chỉ chấp nhận các yêu cầu pháp lý đối với dữ liệu người dùng tại địa chỉ email apple.com “với điều kiện dữ liệu được truyền từ địa chỉ email chính thức của các cơ quan yêu cầu’’.
Trong khi đó, Meta nhận được 21.700 yêu cầu khẩn cấp từ tháng 1 đến tháng 6/2021 trên toàn cầu và đã cung cấp nhiều dữ liệu khách hàng để đáp ứng 77% những yêu cầu đó.
“Trong trường hợp khẩn cấp, cơ quan thực thi pháp luật có thể gửi yêu cầu mà không cần quy trình pháp lý”, đại diện Meta tuyên bố trên trang web của mình. “Căn cứ vào các trường hợp, chúng tôi có thể tự nguyện tiết lộ thông tin cho họ nếu có lý do chính đáng’’.
Hệ thống yêu cầu dữ liệu từ các công ty là sự chắp vá của nhiều địa chỉ email và cổng thông tin khác nhau. Việc thực hiện các yêu cầu pháp lý theo đó có thể rất phức tạp vì có đến hàng chục nghìn cơ quan thực thi pháp luật khác nhau, từ sở cảnh sát địa phương đến các cơ quan liên bang trên khắp thế giới. Các khu vực pháp lý khác nhau cũng áp dụng những điều luật khác nhau.
Theo Jared Der-Yeghiayan, Giám đốc công ty an ninh mạng Recorded Future và Cựu lãnh đạo chương trình mạng tại Bộ An ninh Nội địa, “Không có một hệ thống hoặc hệ thống tập trung nào để đệ trình những thứ này. Mỗi cơ quan sẽ xử lý chúng theo những cách khác nhau’’.
“Tình hình hiện đang rất phức tạp. Việc khắc phục chúng không đơn giản chút nào. Ngoài việc tối đa hóa quyền riêng tư, chúng tôi phải xem xét rất nhiều yếu tố’’, bà Nixon cho biết./.