Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Apple y Meta compartieron datos privados de usuarios a miembros del Grupo Lapsus


Apple y Meta entregaron datos de usuarios a Lapsus, como números de teléfono y las direcciones de usuarios concretos. Lapsus realizó falsas solicitudes gracias a tener acceso a sistemas de correo electrónico  de un departamento de policía. Apple y Meta dieron voluntariamente a los atacantes nombres, direcciones y números IP de varios usuarios, sin ninguna orden judicial, gracias "Datos de emergencia" (EDR)



Apple y Meta dieron información de algunos de sus usuarios, como el domicilio, el número de teléfono y la dirección IP, a ciberdelincuentes que se hicieron pasar por funcionarios públicos. Incluso tenían la posibilidad de enviar correos electrónicos desde una agencia federal dentro del gobierno de Argentina.

Las compañías tecnológicas suelen recibir distintos tipos de solicitudes legales de información de determinados clientes. En Estados Unidos las solicitudes convencionales necesitan la firma de un juez para tener validez, pero las de emergencia, que están destinadas a ser utilizadas en casos de peligro inminente, están exentas de este requisito. Se cree los ciberdelincuentes de un grupo conocido como "Recursion Team" falsificó varias solicitudes a lo largo de 2021. 

Apple y Meta dieron datos de algunos usuarios a ciberdelincuentes que se hicieron pasar por funcionarios públicos

Según se indica, esto ocurrió a mediados de 2021, cuando este grupo consiguió tener acceso a los sistemas de correo electrónico del departamento de policía. Tras la hazaña, realizaron falsas solicitudes de datos de emergencia, lo que no requiere de una citación u orden de allanamiento firmada por un juez ya que estos casos están destinados a situaciones que amenazan a la vida.

Se cree que este ataque podría haber sido realizada por miembros de un grupo ciberdelincuente llamado Recursion Team. Aunque el grupo se ha disuelto, algunos de ellos se han unido a LAPSUS$ con diferentes nombres. Los funcionarios involucrados en la investigación le dijeron a Bloomberg que los piratas informáticos accedieron a las cuentas de las agencias de aplicación de la ley en varios países y se dirigieron a muchas empresas en el transcurso de varios meses a partir de enero de 2021. Obviamente, la información obtenida tiene la finalidad de ser vendida por Internet.

“Revisamos todas las solicitudes de datos para verificar su suficiencia legal y utilizamos sistemas y procesos avanzados para validar las solicitudes de aplicación de la ley y detectar abusos”, dijo Andy Stone, director de políticas y comunicaciones de Meta, en un comunicado enviado por correo electrónico a The Verge .

“Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas del orden público para responder a incidentes relacionados con solicitudes fraudulentas sospechosas, como lo hemos hecho en este caso”.

Curiosamente, esta semana LAPSUS$ ha revelado el robo de información relacionada con la aplicación Apple Health, además de Facebook, DHL, el banco mexicano Citibanamex y más compañías, así que es de esperar que en breve hayan más novedades.

El suceso ha disparado las alarmas de la comunidad de ciberseguridad. Apple, Meta, Google y el resto de las compañías tecnológicas proporcionan información a las fuerzas de seguridad y gobiernos de distintos países cuando reciben una orden oficial. En la mayoría de países estas órdenes tienen que estar firmadas por un juez.

Pero las empresas tienen también mecanismos para solicitar información en casos de emergencia, cuando hay una situación de peligro inminente para una víctima. El tipo de datos que es posible solicitar en estos casos es limitado, pero el ataque demuestra que Apple o Meta no aplican todas las precauciones que deben en estos casos.

Apple, por ejemplo, explica en su guía para agencias de seguridad que la compañía "puede contactar y pedir al agente que confirme que la solicitud de emergencia es legítima", pero no indica que sea un proceso establecido para todas las solicitudes. Meta asegura que las solicitudes se verifican para evitar casos de abuso, pero, al igual que Apple, este caso prueba que esos filtros que aplica no son del todo efectivos.

Adicionalmente, un portavoz de Discord aseguraba que “Podemos confirmar que Discord recibió solicitudes de un dominio legítimo de aplicación de la ley y cumplió con las solicitudes de acuerdo con nuestras políticas. Verificamos estas solicitudes verificando que provengan de una fuente genuina, y así lo hicimos en este caso. Si bien nuestro proceso de verificación confirmó que la cuenta de las fuerzas del orden era legítima, más tarde supimos que había sido comprometida por un actor malintencionado. Desde entonces, llevamos a cabo una investigación sobre esta actividad ilegal y notificamos a las fuerzas del orden sobre la cuenta de correo electrónico comprometida”.

De hecho, parte del problema viene, tal y como explicaba Jared Der-Yeghiayan, director de la firma de seguridad cibernética Recorded Future Inc. y exlíder del programa cibernético en el Departamento de Seguridad Nacional de que “no existe un sistema o un sistema centralizado para enviar estas cosas […] Cada agencia los maneja de manera diferente”.

EDR - Solicitud Datos de Emergencia

La solicitud de datos de emergencia (EDR, por sus siglas en inglés) es una especie de trámite legal que pueden utilizar los agentes de seguridad con el fin de obtener la información necesaria de un usuario para poder realizar una investigación. Este tipo de solicitudes no requiere de una orden judicial, dado a que se considera de carácter urgente y se realiza, en la mayoría de casos, cuando hay una situación de vida o muerte. Apple, Meta y otras compañías se ven obligadas a compartir estos datos una vez comprueban que la solicitud es real.

Tanto Apple como Meta, de hecho, deberían tener un riguroso sistema para comprobar que el trámite es legítimo. Pero según las investigaciones, podrían haber enviado las solicitudes de datos de emergencia falsas a través de direcciones de policía reales.

Tanto Apple como Meta han señalado que todas las solicitudes que reciben son revisadas y que notifican aquellas cuentas que saben que están haciendo requerimientos ilícitos. Lo que no señalan es cuántas a solicitudes falsas respondieron. Según los datos oficiales, en 2020 Apple recibió 1.162 solicitudes de emergencia desde 29 países, de las cuales respondió al 93 %. Meta, por su parte, recibió 21.700 solicitudes de emergencia entre enero y junio de 2021, proporcionando información en el 77 % de los casos.

Fuentes:
https://elchapuzasinformatico.com/2022/03/apple-y-meta-compartieron-datos-con-los-hackers-de-lapsus-los-cuales-se-hicieron-pasar-por-la-policia/

https://www.elmundo.es/tecnologia/2022/03/31/624510ad21efa052328b45a0.html

https://hipertextual.com/2022/03/apple-meta-datos-hackers-policias

https://www.elotrolado.net/noticias/tecnologia/apple-facebook-falsas-solicitudes-datos-personales


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.