Apple trompé en divulguant des données personnelles utilisées pour extorquer sexuellement des mineurs

Nous avons appris le mois dernier qu’Apple avait été amené à divulguer des données personnelles à des pirates après qu’ils se soient fait passer pour des responsables de l’application des lois avec des demandes de données d’urgence. Un rapport de suivi révèle que certaines de ces données ont été utilisées pour extorquer sexuellement des mineurs.

Le dernier rapport met également en lumière la façon dont les pirates ont pu tromper Apple et d’autres géants de la technologie, notamment Facebook, Google, Snap, Twitter et Discord…

Arrière-plan

Habituellement, une entreprise ne divulguera les données des clients aux responsables de l’application des lois qu’à la réception d’une ordonnance du tribunal, et même dans ce cas, elle examinera attentivement la demande, proposant parfois de ne fournir qu’une partie des données demandées.

Comme ce processus prend du temps, il existe une procédure de demande de données d’urgence à utiliser lorsqu’il existe un risque immédiat de préjudice pour une ou plusieurs personnes. Dans ces cas, les entreprises vérifient que la demande provient d’un contact légitime des forces de l’ordre, mais fournissent d’abord les informations et posent des questions plus tard.

Les pirates ont utilisé de fausses demandes de données d’urgence pour persuader Apple et d’autres entreprises de divulguer les données des utilisateurs. Un nouveau rapport explique comment les données ont été utilisées à mauvais escient et fournit des informations sur la façon dont les entreprises ont été dupées.

Comment Apple a été trompé

Bloomberg rapporte que l’attaque repose généralement sur la possibilité d’utiliser le piratage ou le phishing pour accéder aux systèmes de messagerie des forces de l’ordre, de sorte que la source des demandes semble authentique.

La méthode exacte des attaques varie, mais elles ont tendance à suivre un schéma général, selon les forces de l’ordre. Cela commence par le fait que l’auteur compromet le système de messagerie d’un organisme d’application de la loi étranger.

Ensuite, l’attaquant forgera une “demande de données d’urgence” à une entreprise technologique, cherchant des informations sur le compte d’un utilisateur, ont déclaré les officiers. Ces demandes sont utilisées par les forces de l’ordre pour obtenir des informations sur les comptes en ligne dans les cas impliquant un danger imminent tel qu’un suicide, un meurtre ou un enlèvement. […]

Les données fournies varient selon les entreprises, mais comprennent généralement le nom, l’adresse IP, l’adresse e-mail et l’adresse physique. Certaines entreprises fournissent plus de données.

Attaques en cascade utilisées pour extorquer les victimes

Bien que les données ne semblent pas très importantes, elles fournissent suffisamment d’informations pour permettre d’autres attaques de piratage et de phishing contre des victimes individuelles. Les auteurs et les victimes seraient des enfants.

Les attaquants ont utilisé ces informations pour pirater les comptes en ligne des victimes ou pour se lier d’amitié avec les femmes et les mineurs avant de les encourager à fournir des photos sexuellement explicites, selon les personnes. On pense que bon nombre des auteurs sont des adolescents eux-mêmes basés aux États-Unis et à l’étranger, selon quatre des personnes.

Bloomberg rapporte que certains des cas étaient horriblement extrêmes.

Les auteurs ont menacé d’envoyer du matériel sexuellement explicite fourni par la victime à leurs amis, aux membres de leur famille et aux administrateurs de l’école s’ils ne se conformaient pas aux demandes, selon les gens. Dans quelques cas, les victimes ont subi des pressions pour graver le nom de l’agresseur dans leur peau et partager des photos de celui-ci.

La prise de 9to5Mac

L’utilisation de fausses demandes de données d’urgence à partir d’adresses e-mail légitimes des forces de l’ordre est un énorme problème car elle risque de nuire, quelle que soit la réponse des entreprises. S’ils divulguent des données avec un minimum de vérifications, ils courent le risque de transmettre des informations personnelles à des pirates. S’ils tardent suffisamment longtemps pour des contrôles plus complexes, il peut être trop tard pour aider les victimes dans les cas réels.

Le risque évident est que cela devienne une tactique de plus en plus courante. Des ressources importantes doivent être consacrées à la prévention et à la détection de ce crime, et la sanction doit refléter la gravité des conséquences potentielles.

Photo : Alexander Krivitskiy/Unsplash

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Suite.


Découvrez 9to5Mac sur YouTube pour plus d’actualités Apple :