manzana y metala empresa matriz de Facebook, dieron los datos de sus usuarios a los ciberdelincuentes que se hicieron pasar por funcionarios del gobierno. Entre la información publicada se encuentra la dirección, el número de teléfono y la dirección IP, en respuesta a “solicitudes de datos de emergencia” falsificadas.
Estas solicitudes generalmente solo se entregan con una orden de registro o citación firmada por un juez, pero las solicitudes de emergencia no requieren una orden judicial.
Un representante de Apple le dijo a los medios de comunicación de Bloomberg sobre sus pautas y estándares de aplicación. Esa regulación a la que se refiere Apple establece que un supervisor del gobierno o un oficial de la ley que presentó la solicitud “Es posible que lo contacten y le pidan que confirme a Apple que la solicitud de emergencia fue legítima”.
Las solicitudes falsificadas se hicieron para parecer legítimas. En algunos casos, los documentos incluían firmas falsificadas de agentes del orden reales o ficticios, según dos de las personas. Al comprometer los sistemas de correo electrónico de las fuerzas del orden, los ciberdelincuentes pueden haber encontrado solicitudes legales legítimas y utilizarlos como plantilla para crear falsificaciones, según una de las personas.
“Revisamos todas las solicitudes de datos para verificar su suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar abusos”, dijo el portavoz de Meta, Andy Stone.
“Bloqueamos las cuentas comprometidas conocidas para que no hagan solicitudes y trabajamos con las fuerzas del orden público para responder a incidentes relacionados con solicitudes sospechosas de fraude, como hemos hecho en este caso”, agregaron.
Facebook y Apple engañaron la información. Foto AP
Las fuerzas policiales de todo el mundo solicitan habitualmente información sobre los usuarios de las plataformas de redes sociales como parte de las investigaciones criminales. En los EE. UU., dichas solicitudes suelen incluir una orden firmada por un juez. Las solicitudes de emergencia están destinadas a ser utilizadas en casos de peligro inminente y no requieren que un juez las apruebe.
La información obtenida por los ciberdelincuentes utilizando las solicitudes legales falsificadas se utilizó para habilitar campañas de acoso, según una de las personas familiarizadas con la investigación. Las tres personas dijeron que se puede usar principalmente para facilitar esquemas de fraude financiero. Conociendo la información de la víctima, los piratas informáticos podrían usarla para tratar de eludir la seguridad de la cuenta.
Se cree que los piratas informáticos están vinculados a un grupo de ciberdelincuencia conocido como “Equipo de recursión” están detrás de algunas de las solicitudes legales falsificadas, que fueron enviadas a empresas a lo largo de 2021, según las tres personas involucrados en la investigación.
Recursion Team ya no está activo, pero muchos de sus miembros continúan realizando hacks bajo diferentes nombres, incluso como parte de Lapsus$, dijeron las personas.
Sospecha: otra vez Lapsus$
El grupo hackeó Mercado Libre. Foto Mercado Pago
Los investigadores de seguridad sospechan que algunos de estos delincuentes son menores ubicados en el Reino Unido y los Estados Unidos. También se cree que uno de los menores es el autor intelectual del grupo ciberdelincuente Lapsus$, que hackeó Microsoft, Samsung y Nvidia e incluso Mercado Libre. También lograron ingresar a los sistemas de Globant, otro de los unicornios argentinos.
Como informó Bloomberg, la policía de Londres arrestó recientemente a siete personas en relación con un investigación sobre el grupo Lapsus$.
La información obtenida por los hackers fue utilizada para campañas de acoso y fraude financiero, según personas familiarizadas con la investigación. Conociendo los datos de la víctima, los piratas informáticos podrían utilizarlos para intentar eludir la seguridad de las cuentas.
Snap no hizo comentarios inmediatos sobre el caso, pero un portavoz dijo que la compañía tiene medidas de seguridad para detectar solicitudes. fraude policial.
SL
