Ủa, hóa ra cả Apple lẫn Facebook cũng "dính bẫy" hacker rồi nha mọi người ơi! Theo Bloomberg vừa đăng, giữa năm 2021 các hacker đã cosplay thành công chức chính phủ để lừa lấy data người dùng từ hai ông lớn này. Data bị lộ bao gồm cả địa chỉ IP, số điện thoại và luôn cả địa chỉ nhà nữa chứ – nghe sợ chưa kìa!
Vốn dĩ thì chuyện cảnh sát yêu cầu các nền tảng mạng xã hội cung cấp data để điều tra là chuyện bình thường lắm rồi. Thường thì phải có trát tòa hoặc lệnh khám xét mới được, nhưng với các trường hợp "khẩn cấp" – kiểu đe dọa tính mạng gì đó – thì lại không cần giấy tờ gì cả.
Hãng bảo mật Krebs cho biết chính cái lỗ hổng này đang bị hacker lợi dụng tới tấp luôn. Chiêu của bọn này là: đầu tiên hack vào hệ thống email của sở cảnh sát nào đó, rồi gửi yêu cầu khẩn cấp fake làm như có tình huống nguy hiểm lắm, không thể chờ thủ tục pháp lý. Và thế là các công ty... gửi data thẳng cho hacker mà không hay biết
Thậm chí giờ còn có cả "chợ đen" bán quyền truy cập vào email cảnh sát, chuyên phục vụ việc gửi yêu cầu data giả nữa đó các bạn ạ!
Theo Bloomberg thì chuỗi tấn công này do nhóm Recursion Team thực hiện. Mặc dù nhóm này giờ đã "tan rã", nhưng nhiều thành viên đã chuyển sang gia nhập Lapsus$ – cái tên gây bão gần đây vì hack hàng loạt ông lớn như Samsung, Nvidia và Microsoft.
Meta đã lên tiếng qua giám đốc chính sách Andy Stone: "Chúng tôi luôn xem xét đầy đủ các yếu tố pháp lý của mọi truy vấn dữ liệu và sử dụng các quy trình tiên tiến để xác thực các truy vấn từ lực lượng thực thi pháp luật và phát hiện hành vi lạm dụng. Chúng tôi chặn yêu cầu truy vấn từ những tài khoản bị xâm phạm và làm việc với lực lượng thực thi pháp luật để đáp trả các sự cố liên quan đến những trường hợp bị nghi ngờ gian lận, như chúng tôi đã làm trong trường hợp này."
Còn Apple thì giải thích chính sách của họ với The Verge: "Nếu chính phủ hoặc các cơ quan thực thi pháp luật tìm kiếm dữ liệu khách hàng đáp ứng quy định về Yêu cầu Thông tin cho Thực thi Pháp luật và Tình huống Khẩn cấp của Chính phủ, người theo dõi cho đại diện của chính phủ và lực lượng thực thi pháp luật sẽ được liên hệ để xác nhận với Apple rằng, truy vấn khẩn cấp này là hợp lệ."
Nhưng Apple và Meta không phải là nạn nhân duy nhất đâu nha! Bloomberg còn cho biết hacker cũng đã liên hệ Snap với yêu cầu tương tự, nhưng chưa rõ Snap có "mắc lừa" hay không.
Tham khảo The Verge
Nguồn: kenh14.vn