Cibercriminosos menores de idade conseguiram enganar os serviços da Apple e da Meta (antiga Facebook) com pedidos de dados pessoais de um número de consumidores ainda indeterminado. Os pedidos foram enviados durante 2021 e terão sido bem sucedidos na missão de convencer as duas empresas de que realmente tinham sido enviados por autoridades judiciárias que pretendiam investigar determinadas pessoas.
Entre os suspeitos hackers que, alegadamente, participaram nas atividades do grupo Lapsus$, que são os principais suspeitos de ataques contra a Impresa, a Microsoft e a Samsung. Nas respostas a esses pedidos, Apple e Meta terão disponibilizado moradas, endereços IP usados como identificadores de acesso à Net, e números de telefone de consumidores.
A notícia foi avançada pela Bloomberg com base em três fontes anónimas que estão próximas do processo. Tanto a Meta como a Apple já reagiram, mas não chegam a pôr em causa a notícia sobre a entrega de dados pessoais de clientes da Apple e da Meta aos cibercriminosos.
A Discord também confirmou que deparou com um pedido de informação suspeito. A Snap, que detém o Snapchat, também foi apontada como alvo desta fraude, mas ainda não comentou esta notícia.
Além de situações de assédio ou perseguição on-line, os dados terão sido usados pelos cibercriminosos para tentar lançar ciberataques feitos à medida para obter informação valiosa ou desviar dinheiro das vítimas da fuga de informação. Sabe-se que parte dos hackers em causa são menores que vivem nos Estados Unidos e Reino Unido, mas não se sabe ainda que entidades judiciárias foram usadas nos e-mails forjados para obter dados de clientes da Apple e da Meta. Há apenas referência a entidades de “vários países”.
Também não há dados ou números sobre as nacionalidades das alegadas vítimas.
A Apple não desmente a cedência de dados, mas recorda que as regras internas obrigam a confirmar com as autoridades em causa se os pedidos de informação urgentes são ou não fidedignos.
Em contrapartida a Meta garante que bloqueia as contas de utilizadores potencialmente comprometidas por ciberataques para que evitar fraudes, e admite que foi o que fez “neste caso”, agora revelado pela Bloomberg.
A investigação levada a cabo com base em dados recolhidos no circuito da cibersegurança tem por ponto de partida o grupo de hackers Recursion Team.
Segundo a informação recolhida, hackers deste grupo entretanto desmantelado terão sido responsáveis por parte dos e-mails forjados que foram enviados às duas empresas.
Há indícios que levam a crer que esta prática poderá ter prosseguido depois do desmantelamento do grupo – e eventualmente até terá sido adotada por membros do grupo Lapsus$. De resto, há suspeitas de que um dos líderes deste grupo que atacou a Impresa (proprietária do Expresso e da SIC) e outras marcas estará também envolvido no envio de e-mails forjados.
A justiça britânica estará agora em situação favorável para apurar o sucedido – até porque recentemente deteve sete pessoas suspeitas de ligações ao grupo Lapsus$.
Como todas as empresas que disponibilizam serviços na Internet, Apple e Meta recebem pedidos de informação de autoridades judiciárias de todo o mundo relativamente a internautas considerados suspeitos de uma qualquer prática ilegal. Em quase todos os casos, as empresas exigem a apresentação de um mandado de um juiz – que é essencial para escutas e outros tipos de investigação que respeitam o estado de direito e a privacidade.
Mas há uma exceção a esta regra: nos pedidos de informação urgentes, as empresas de tecnologias podem aceitar a dispensa de mandado de juiz. O que poderá ter facilitado a fraude e a usurpação de identidade das autoridades judiciárias usadas neste caso.
Há suspeitas de que o envio de pedidos de dados de clientes só terá sido bem sucedido, devido ao facto de ter sido precedido de ataques às contas de utilizadores usadas pelas autoridades de vários países. Ao lograrem o acesso às contas de e-mails de diferentes autoridades, os hackers ficaram assim em condições de passar por polícias ou procuradores fidedignos – pois passaram a poder usar meios de contacto e identidades reais para contactar a Apple e a Meta.
A este estratagema juntaram-se ainda assinaturas digitais de autoridades reais e ficcionadas, bem como o aproveitamento de outros documentos em arquivo que serviram de matriz para o envio de mais pedidos.
O contexto também propicia os enganos e a fraude: há milhares de polícias, tribunais e agências de segurança em todo o mundo que contactam as plataformas que operam na Internet para obter informação – e as plataformas têm de ter em conta não só os interlocutores, como ainda as leis dos países de origem.
A agilidade na resposta aos pedidos de informação poderá ter acabado por facilitar a cedência de dados – mas há vários casos em que é justificada. A Meta confirma que, em casos de risco de vida ou danos graves, pode facilitar a cedência de dados sem exigir mandados.
Desta vez, a disponibilidade para responder aos pedidos urgentes não serviu para salvar ninguém – antes pelo contrário.
- Texto: Expresso, jornal parceiro do POSTAL
