《彭博社》近日報導,蘋果 Apple 和 Meta(Facebook 的母公司)將用戶的個資提供給偽裝成執法人員的駭客。這起事件發生在 2021 年年中,當駭客透過發送「緊急數據請求」給社交平台要求他們提供用戶的詳細個資,如用戶的地址、電話和 IP 地址等。
究竟什麼是「緊急數據請求」,怎麼連兩大科技巨頭:蘋果和 Meta 都上當,就這樣輕易地交出用戶的個資?
▼ 最新的詐騙手法,連蘋果和 Meta 都栽了進去
執法人員的「緊急請求」
在了解駭客的手法前,我們先看看什麼是「緊急請求」。
由於刑事調查上的需求,執法人員經常要求社交平台公司提供相關數據,好讓他們能取得帳號擁有者的詳細資訊。通常執法人員需要持有法官簽署的傳票或搜查令才能要求公司交出數據,但「緊急數據請求(Emergency Data Request)」卻不在此列。
在攸關人命的緊急情況中,執法人員自然沒時間跑程序等法官簽字,這時候就會透過「緊急請求」要求社交平台馬上提供相關數據,務求在第一時間掌握所有必要情報。
▉ 蘋果和 Meta 的驗證流程
當然,為了避免有心人士偽造緊急請求,各家公司都會有自己的 SOP 來驗證這些緊急請求。
蘋果有一份自己的「執法指南」,裡面這麼寫道:「蘋果會聯繫那些提出請求的政府或執法機關主管,並要求他們證實這些請求具備適法性。」
Meta 則向《The Verge》表示:「我們會審查每個數據請求以確保它們具備適法性,並使用先進的系統和流程來驗證、檢測這些請求是否有濫用行為。此外,我們會阻止已知的受損帳戶提出請求,並與執法部門合作來應對與涉嫌欺詐請求有關的事件,就像我們在本案中做的那樣。」
駭客的犯罪手法
然而,既然蘋果和 Meta 都有一套驗證/檢測流程,為什麼還會發生這次的事件?在一份安全報告中,《Krebs on Security》解釋了駭客們的犯罪手法。
想要偽造一個緊急數據請求,駭客必須先駭進執法機構的電子郵件系統中。接著,駭客就能偽裝成執法人員發送緊急數據請求給社交平台公司,並描述不提供數據時可能導致的潛在危險。在某些情況下,駭客可能會找到過去發送的緊急請求,並將這份合法的緊急請求用來當作模板來偽造緊急請求。
這些緊急需求也不完全是來自於單一的地區或國家,蘋果在 2020 年收到的緊急請求就分別來自 29 個國家地區。些駭客甚至會在網路上販賣「政府或執法機關的電子郵件權限」,其目的就是為了向社交平台發送假的緊急請求。
背後的主使者是一群青少年?
令人意外的是,背後做出這些非法行為的人絕大多都是青少年。網路安全研究人員認為,一個名為「Lapsus$」的駭客組織可能參與了這場騙局,該組織過去也曾成功駭進微軟、三星和 NVIDIA 等公司。雖然調查仍在進行當中,但倫敦警方已經逮捕了7名與組織有關的青少年。
此外,去年的一連串攻擊也有可能是一個名為「Recursion Team」的駭客組織做的。就算這個團體現在已經解散了,但其中的一些人以不同的名字加入了 Lapsus$。
總結
《彭博社》指出,拿到用戶的個資後,駭客可能會利用個資來進行騷擾活動或金融詐欺計畫。藉著受害者的個資帳密,駭客就能繞過帳號安全系統。
遺憾的是,針對「假緊急請求」類型的詐欺,身為用戶的我們幾乎沒有任何方法能防範。這些偽造的緊急請求確實就是從國家執法機構的電子郵件系統發出的,刻不容緩的情況下也無法強硬要求對方給出任何證明,要是耽誤人命了怎麼辦?
因此,我們只能盡量避免在社交平台上留下重要個資(如住家地址、信用卡或身分證字號等),畢竟駭客防不勝防啊。
首圖來源:Boomberg
