'Apple en Meta gaven klantgegevens aan cybercriminelen'

Dat schrijft persbureau Bloomberg op basis van ingewijden. Volgens de bronnen ging het om gegevens als adressen, telefoonnummers en IP-adressen. Dat zou halverwege vorig jaar zijn gebeurd met een vervalst noodgegevensverzoek.

Ordediensten over de hele wereld vragen sociale mediaplatforms routinematig om informatie over gebruikers als onderdeel van strafrechtelijke onderzoeken. In de Verenigde Staten is voor dergelijke verzoeken meestal een ondertekend bevel van een rechter nodig. De noodverzoeken, die bedoeld zijn voor gebruik in geval van dreigend gevaar, hoeven niet door een rechter te zijn ondertekend.

Snap, het bedrijf achter Snapchat, ontving ook een vervalst juridisch verzoek van dezelfde hackers. Het is niet bekend of het bedrijf in reactie daarop gegevens heeft verstrekt. Het is ook niet duidelijk hoe veel keren de bedrijven gegevens hebben verstrekt naar aanleiding van vervalste verzoeken.

Cyberbeveiligingsonderzoekers vermoeden dat enkele van de criminelen minderjarig zijn en zich in het Verenigd Koninkrijk en de Verenigde Staten bevinden. Een van de minderjarigen zou ook het brein zijn achter de Lapsus$-cyberbende, die onder meer Microsoft, Samsung en Nvidia heeft gehackt, aldus de bronnen.

De politie van Londen heeft onlangs zeven mensen gearresteerd in verband met een onderzoek naar Lapsus$. Dat onderzoek loopt nog.

Just do what they told you

Een vertegenwoordiger van Apple verwees in een reactie tegen Bloomberg naar de richtlijnen voor wetshandhaving bij het bedrijf. Het bedrijf reageerde verder niet inhoudelijk.

Meta zegt in een reactie elk dataverzoek op juridische toereikendheid te controleren. Het bedrijf gebruikt naar eigen zeggen ook geavanceerde systemen en processen om rechtshandhavingsverzoeken te valideren en misbruik op te sporen. Daarbij worden aangetaste accounts voor zover bekend geblokkeerd. Het bedrijf werkt samen met rechtshandhaving in de reactie op incidenten met vermoedelijk frauduleuze verzoeken "zoals we in dit geval hebben gedaan".

Toegang via e-mail van politie

Het is niet de eerste keer dat criminelen gebruik maken van valse noodbevelen, zo blijkt uit een onderzoek van Krebs on Security. Ze vallen dan eerst het e-mailsysteem van een politiebureau aan en maken daarmee een noodbevel aan. Bij dat bevel wordt gelijk aangegeven wat de consequenties zijn wanneer de opgevraagde gegevens niet onmiddellijk worden verstrekt. Het is niet nodig voor elk noodbevel opnieuw gaten te zoeken in de beveiliging van een e-mailsysteem van de politie. De gegevens om binnen te dringen worden door criminelen gewoon op het dark web verkocht. In veel gevallen zitten tieners achter de valse opvragingen.