En réponse à des demandes légales frauduleuses, des entreprises comme Apple, Google, Meta et Twitter ont été amenées à partager des informations personnelles sensibles sur certains de leurs clients. Nous savions que cela se produisait aussi récemment que le mois dernier lorsque Bloomberg sur les pirates utilisant de fausses demandes de données d’urgence pour commettre une fraude financière. Mais selon un point de vente, certaines personnes malveillantes utilisent également les mêmes tactiques pour cibler les femmes et les mineurs dans le but de les extorquer pour qu’ils partagent des images et des vidéos sexuellement explicites d’eux-mêmes.
On ne sait pas combien de fausses demandes de données les géants de la technologie ont traitées, car elles semblent provenir d’organismes d’application de la loi légitimes. Mais ce qui rend les demandes particulièrement efficaces en tant que tactique d’extorsion, c’est que les victimes n’ont aucun moyen de se protéger autrement qu’en n’utilisant pas les services offerts par ces entreprises. Les forces de l’ordre et les enquêteurs Bloomberg a parlé à la publication, ils pensent que l’utilisation de la tactique est devenue « plus répandue » ces derniers mois.
Toutes les entreprises qui ont commenté BloombergLes rapports de Google, y compris Google et Snap, indiquent qu’ils ont mis en place des politiques et des équipes pour vérifier la légitimité des demandes de données des utilisateurs.
« Nous examinons chaque demande de données pour en vérifier la suffisance légale et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l’ordre et détecter les abus », a déclaré le porte-parole de Meta, Andy Stone, à Engadget. « Nous empêchons les comptes compromis connus de faire des demandes et travaillons avec les forces de l’ordre pour répondre aux incidents. impliquant des demandes présumées frauduleuses, comme nous l’avons fait dans ce cas. »
Un porte-parole de Discord a déclaré que la société valide toutes les demandes de données pour s’assurer qu’elles proviennent d’une source « authentique ». « Nous investissons continuellement dans nos capacités de sécurité pour résoudre les problèmes émergents comme celui-ci », a ajouté le porte-parole.
Une partie de ce qui a permis aux fausses demandes de passer est qu’elles abusent de la façon dont l’industrie gère généralement les appels d’urgence. Dans la plupart des entreprises technologiques, il est de pratique courante de partager une quantité limitée d’informations avec les forces de l’ordre en réponse à des demandes de « bonne foi » liées à des situations impliquant un danger imminent.
En règle générale, les informations partagées dans ces instances incluent le nom de la personne, son adresse IP, son adresse e-mail et son adresse physique. Cela peut sembler peu, mais c’est généralement suffisant pour que les mauvais acteurs harcèlent, doxent ou SWAT leur cible. Selon Bloombergil y a eu de « plusieurs cas » de policiers se présentant au domicile et dans les écoles de femmes mineures.
Le problème des fausses demandes de données inciterait les entreprises à réfléchir à de nouvelles façons de vérifier les demandes légitimes. Cela a également poussé les législateurs américains à se prononcer sur la question. « Personne ne veut que les entreprises technologiques refusent les demandes d’urgence légitimes lorsque la sécurité de quelqu’un est en jeu », a déclaré le sénateur Ron Wyden de l’Oregon le mois dernier. « Mais le système actuel présente des faiblesses évidentes qui doivent être corrigées. »
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.