Apple et Meta auraient transmis des données d’utilisateurs à des pirates prétendant être des forces de l’ordre, rapporte Bloomberg.
Selon le point de vente, les deux entreprises technologiques ont été victimes de fausses demandes de données d’urgence en 2021, les pirates se faisant passer pour des responsables de l’application des lois. Les demandes de données d’urgence frauduleuses (ERD) ont demandé aux deux sociétés de transmettre d’autres données sensibles, notamment les adresses IP, les numéros de téléphone et les adresses personnelles de ses utilisateurs. Bloomberg mentionne également que Snap, Inc. a reçu une fausse demande légale des mêmes pirates. Cependant, le point de vente ne sait pas si Snap a envoyé ou non les données de l’utilisateur comme les pirates l’avaient initialement demandé.
« Nous examinons chaque demande de données pour en vérifier la suffisance légale et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l’ordre et détecter les abus », a déclaré Andy Stone, directeur de la politique et des communications de Meta, à IGN dans un e-mail. « Nous empêchons les comptes compromis connus de faire des demandes et travaillons avec les forces de l’ordre pour répondre aux incidents impliquant des demandes présumées frauduleuses, comme nous l’avons fait dans ce cas. »
«
Dans une déclaration envoyée à IGN, Apple a cité une section particulière de ses directives d’application de la loi.
« Si un gouvernement ou un organisme chargé de l’application de la loi recherche des données client en réponse à une demande d’informations d’urgence sur le gouvernement et l’application de la loi, un superviseur du gouvernement ou de l’agent chargé de l’application de la loi qui a soumis la demande d’information d’urgence sur le gouvernement et l’application de la loi peut être contacté et invité à confirmer Apple que la demande d’urgence était légitime », indique le communiqué.
Snap n’a pas immédiatement répondu aux demandes de commentaires d’IGN.
Plus tôt cette semaine, Krebs on Security a rapporté que Discord avait également été victime d’une fausse demande de données d’urgence plus tôt cette année par un pirate de 18 ans. Le rapport note en outre que les EDR deviennent de plus en plus courants, les pirates envoyant de fausses demandes de données d’urgence en piratant le courrier électronique d’un service de police.
IGN a sollicité un commentaire de Discord, un porte-parole de la société qualifiant les demandes de données d’urgence de « menace importante ».
« Cette tactique constitue une menace importante dans l’industrie technologique. Nous investissons continuellement dans nos capacités de confiance et de sécurité pour résoudre les problèmes émergents comme celui-ci », a déclaré le porte-parole de Discord.
Bien que l’on ne sache pas qui est responsable de ces faux ERD, Bloomberg pense que le tristement célèbre groupe de piratage, Lapsus$, pourrait être impliqué. Lapsus$ a été responsable du piratage de plusieurs grandes entreprises technologiques, dont Microsoft, Samsung, Nvidia, pour n’en nommer que quelques-unes. Cependant, les forces de l’ordre de Londres ont récemment annoncé que sept personnes avaient été arrêtées en relation avec le groupe de piratage.
Taylor est le rédacteur technique associé chez IGN. Vous pouvez la suivre sur Twitter @TayNixster.