Meta và Apple (Facebook) ‘vô tình’ cấp dữ liệu mật người dùng cho hacker giả mạo quan chức suốt 1 năm qua

Bloomberg đưa tin rằng Apple và Meta - công ty mẹ của Facebook đã để lọt dữ liệu mật của người dùng vào tay các hackers giả mạo là quan chức thực thi pháp luật từ năm 2021. Để phục vụ những yêu cầu “dữ liệu khẩn cấp” giả mạo, rất nhiều thông tin người dùng cơ bản ví dụ như địa chỉ, số điện thoại, địa chỉ IP đã được rò rỉ từ năm 2021. Theo thường lệ, những yêu cầu dữ liệu khẩn cấp chỉ được phép công khai nếu công ty đang hứng chịu lệnh khám xét hoặc đòi hầu tòa với chữ ký thẩm phán. Hiện nay, thông tin về lượng dữ liệu cho các yêu cầu pháp lý giả mạo mà Apple và Meta đã cấp cho hackers vẫn chưa được tiết lộ.

Yêu cầu dữ liệu khẩn cấp giả đang ngày càng trở nên phổ biến, như được giải thích trong một báo cáo gần đây của Krebs on Security. Trong một cuộc tấn công, trước tiên hackers phải có quyền truy cập vào hệ thống email của sở cảnh sát. Sau đó, chúng có thể giả mạo một yêu cầu dữ liệu khẩn cấp mô tả nguy cơ tiềm ẩn của việc không gửi dữ liệu được yêu cầu ngay lập tức, và giả định danh tính của một quan chức thực thi pháp luật. Theo Krebs on Security , một số tin tặc đang bán quyền truy cập vào các email của chính phủ trực tuyến, đặc biệt với mục đích nhắm vào các nền tảng xã hội với các yêu cầu dữ liệu khẩn cấp giả mạo.

Các chuyên gia nghiên cứu an ninh mạng nhận định rằng các hackers lần này có thể là những trẻ vị thành niên tại Anh và Mỹ. Trong số đó, có thể bao gồm nhóm tội phạm mạng Lapsus $ - đây là nhóm hackers đã từng tấn công Microsoft, Samsung và Nvidia. Mới đây, cảnh sát thành phố London cũng đã bắt giữ 7 nghi phạm có liên quan đến nhóm hacker trên. Hiện cuộc điều tra vẫn đang diễn ra và chưa có kết quả.

Theo Andy Stone - đại diện Meta trong một lời tuyên bố mới nhất: “Chúng tôi đã nhìn nhận tính chất pháp lý của yêu cầu dữ liệu và phát hiện hành vi lạm dụng dữ liệu. Chúng tôi đã nhanh chóng chặn ngay các tài khoản bị xâm phạm, và phối với làm việc với cơ quan thực thi pháp lý để khắc phục sự cố trên”.

Theo thông tin của bước đầu điều tra, các hacker đã hợp tác với những người thuộc nhóm tội phạm mạng “Recursion Team” và thực hiện các yêu cầu pháp lý giả mạo với Apple và Meta trong suốt năm 2021. Khi nhóm này không còn hoạt động chính thức, nhiều thành viên nhỏ lẻ sau đó đã tiếp tục thực hiện hành vi phạm pháp bằng nhiều cái tên khác nhau, trong đó bao gồm cả Lapsus $.

Sau khi thu thập thông tin, chúng đã dùng nó để kích hoạt các chiến dịch quấy rối và âm mưu gian lận tài chính với cách vượt qua lớp bảo mật tài khoản. Theo tờ Bloomberg, danh tính của các nạn nhân rò rỉ thông tin hiện vẫn chưa được công bố.

Theo đại diện phía cơ quan điều tra, những yêu cầu giả mạo pháp lý chỉ là một phần năm trong chiến dịch đã kéo dài nhiều tháng qua, nhắm mục tiêu vào các công ty công nghệ kể từ tháng 1 năm 2021. Cụ thể, các yêu cầu giả mạo đều được gửi qua các miền email vốn đã bị mã độc tấn công và có mối liên quan đến nhiều cơ quan thực thi pháp luật tại một số nước trên thế giới.
Các hacker thành công trong việc xâm nhập hệ thống email này đã tìm thấy các yêu cầu pháp lý hợp pháp và bắt đầu dùng chúng để thực hiện mục đích lừa đảo của mình.

Theo Giám đốc nghiên cứu công ty mạng Unit 221B, bà Allison Nixon cho biết: “Đội ngũ an ninh mạng cốt lõi giữ vai trò vô cùng quan trọng mỗi khi các công ty gặp vấn đề bị tấn công bởi các hacker. Đã không biết bao nhiêu lần họ đã cứu các tài khoản và nhanh chóng ứng phó với các tình huống tiêu cực xảy ra do các hacker xâm nhập hệ thống”. Discord cũng đã xác nhận vụ việc trên trong một tuyên bố với tờ Bloomberg.

Đại diện của Discord nói: “Ban đầu, chúng tôi xác minh và cho rằng chúng là hợp pháp. Tuy nhiên, sau khi biết tin đã bị kẻ xấu xâm phạm, ngay lập tức, chúng tôi đã tiến hàng vào cuộc điều tra về hành động bất hợp pháp và thông báo đến cơ quan thực thi pháp luật về những tài khoản email đã bị nhóm hackers lợi dụng để lấy thông tin và dữ liệu”.

Theo Bloomberg, Apple đã nhận được 1.162 yêu cầu cấp dữ liệu khẩn cấp từ 29 quốc gia từ tháng 7 đến tháng 12 năm 2020. Họ đã cung cấp dữ liệu đáp ứng 93% của yêu cầu. Về nguyên tắc, Apply chỉ chấp thuận các yêu cầu pháp lý đối với dữ liệu khách hàng tại địa chỉ email có đuôi apple.com, điều kiện là dữ liệu được truyền từ địa chỉ email chính thức của cơ quan yêu cầu.
Về phía Meta, họ nhận được 21.700 yêu cầu khẩn cấp về việc cung cấp dữ liệu khách hàng từ tháng 1 đến tháng 6 năm 2021 trên toàn cầu. Họ đã cung cấp nhiều dữ liệu của người dùng đáp ứng 77% yêu cầu đó.

Đại diện Meta tuyên bố trên trang web chính thức của mình rằng: “Cơ quan thực thi pháp luật có thể gửi yêu cầu mà không cần quy trình pháp lý nếu đó là trong các trường hợp khẩn cấp. Còn căn cứ vào từng trường hợp, chúng tôi có thể tự nguyện cung cấp thông tin người cho họ nếu có lý do chính đáng phù hợp”.

Hệ thống yêu cầu dữ liệu từ các công ty là sự liên kết chặt chẽ, chắp vá của các địa chỉ email và cổng thông tin khác nhau. Theo đó, có thể sẽ rất phức tạp đối với việc thực hiện các yêu cầu pháp lý vì có tới hàng chục nghìn cơ quan thực thi pháp luật khác nhau, từ sở cảnh sát địa phương đến cơ quan liên bang trên toàn cầu. Bên cạnh đó, mỗi khu vực pháp lý khác nhau cũng áp dụng và thi hành những điều luật khác nhau.

Theo Giám đốc công ty an ninh mạng Recorded Future và Cựu lãnh đạo chương trình mạng tại Bộ An ninh Nội địa, Jared Der-Yeghiayan cho biết: “Không có một hệ thống tập trung nào để đệ trình những điều này. Mỗi cơ quan pháp lý của từng khu vực sẽ có những cách xử lý không giống nhau”.

Bà Nixon cho biết: “Hiện tình hình đang rất hỗn loạn và phức tạp. Việc xử lý, khắc phục không hề đơn giản chút nào. Bên cạnh việc tối đa hóa quyền riêng tư người dùng, chúng tôi cũng phải xem xét, cân nhắc rất nhiều vấn đề phát sinh khác”.