De acuerdo con un informe de Bloomberg, Apple y Meta entregaron información privada de los usuarios a hackers que se hicieron pasar por agentes de la policía. Parte de estos datos incluían direcciones, números de teléfonos y direcciones IP de las personas afectadas.
Según el artículo, las dos compañías cayeron en este engaño a mediados de 2021 al considerar que la solicitud de datos de emergencia enviada por los ciberdelincuentes era real. Este tipo de requerimientos son una suerte de trámite legal mediante el cual agentes de seguridad pueden obtener información de un usuario para poder llevar a cabo una investigación.
La solicitud de datos de emergencia (EDR) no requiere de una orden judicial, ya que es considerada de carácter urgente y se realiza cuando hay una situación de vida o muerte (en la mayoría de los casos). De esta manera, las compañías se ven en la obligación de compartir los datos de sus clientes cuando se les solicita (y siempre que se compruebe que el requerimiento es legal).
El reporte de Bloomberg indica que los piratas informáticos pudieron haber enviado las solicitudes de datos de emergencia falsas a través de direcciones de policía reales, para lo cual debieron falsificar las firmas de los agentes.
Se cree que los responsables de este ataque serían hackers pertenecientes a una agrupación conocida como Recursion Team, que tiene entre sus filas a menores de edad de distintos territorios como Reino Unido y Estados Unidos.
“Bloqueamos las cuentas comprometidas conocidas para que no realicen solicitudes y trabajamos con las fuerzas de seguridad para responder a incidentes relacionados con solicitudes presuntamente fraudulentas, como hemos hecho en este caso”, explicó Andy Stone, vocero de la compañía Meta.