Il problema relativo alla sicurezza dei dati sensibili torna ad affacciarsi prepotentemente, dopo il clamoroso infortunio cui hanno dato vita Apple e Meta. Stando alle notizie che stanno filtrando in queste ore, infatti, le due aziende avrebbero fornito i dati sensibili dei propri utenti ad hacker che si sono spacciati per funzionari delle forze dell’ordine.

I dati in questione sarebbero l’indirizzo, il numero di telefono e l’indirizzo IP di alcuni abbonati. Il numero delle richieste evase non è ancora noto, mentre è stato reso noto che la vicenda avrebbe avuto luogo a metà del 2021. In pratica agli hacker è bastato presentare richieste di dati di emergenza, per vedersi spalancare le porte da Apple e Meta.

Occorre ricordare che solitamente le richieste di questo genere prevedono l’accompagnamento di un mandato di perquisizione o di una citazione firmata da un giudice, anche se non serve una vera e propria ingiunzione del tribunale.

Anche Snap Inc. avrebbe ricevuto analoga richiesta, sempre dai pirati informatici, ma non è ancora stato chiarito se abbia risposto positivamente. Un suo portavoce ha comunque affermato che la società è solita utilizzare misure di sicurezza ideate per poter capire la reale fonte della richiesta e bloccarla ove chiaramente fraudolenta. Naturalmente la vicenda è sotto la lente d’ingrandimento delle autorità giudiziarie e si aspettano novità in tal senso.

Le ipotesi sugli autori

Per quanto riguarda gli autori della beffa, i sospetti dei ricercatori di sicurezza informatica sono al momento appuntati su alcuni minori statunitensi e britannici facenti riferimento al “Recursion Team”. Tra di essi ci potrebbe essere anche la mente di Lapsus$, noto gruppo di hacker che ha colpito a ripetizione aziende del calibro di Microsoft Corp. , Samsung Electronics Co. e Nvidia Corp., tra le altre. Il gruppo è attualmente sotto indagine da parte della polizia di Londra, che ha recentemente arrestato sette persone.

Va anche sottolineato come in ogni parte del globo le forze dell’ordine chiedono con regolarità alle piattaforme di social media informazioni sui loro utenti, motivando tali richieste con lo svolgimento di indagini penali. Negli Stati Uniti, le richieste in questione esigono la presenza di un ordine esecutivo firmato da un giudice. Le richieste di emergenza, però, proprio per il loro carattere non richiedono tale approvazione.

Per cosa sono stati utilizzati i dati?

Le informazioni ottenute in questo frangente dagli hacker sarebbero state utilizzate nell’ambito di vere e proprie campagne di molestie. A riferirlo è stata una persona informata sui fatti, mentre tre degli indagati hanno a loro volta affermato che il loro utilizzo potrebbe rivelarsi ideale al fine di facilitare frodi finanziarie. Proprio la conoscenza delle informazioni relative alle vittime della sottrazione di dati, darebbe agli hacker la possibilità di aggirare i sistemi di sicurezza dell’account.

Naturalmente quanto accaduto è destinato a sollevare molto clamore, considerate le dimensioni del fenomeno. A parziale scusante di Apple e Meta, occorre però ricordare che proprio la tempestività delle risposte da parte delle aziende ha spesso consentito di sventare episodi gravissimi, salvando vite umane. A sostenerlo con forza è stato Allison Nixon, chief research officer presso la società informatica Unit 221B, la quale ha affermato che l’errore in questione è avvenuto in perfetta buona fede.

C’è anche un altro dato su cui riflettere, ovvero il gran numero di richieste analoghe che giungono a Apple e Meta. La prima ha ricevuto 1.162 richieste analoghe nel periodo compreso tra luglio e dicembre 2020, provenienti da 29 paesi, fornendo dati nel 93% dei casi. Meta ha sua volta ricevuto 21.700 richieste di emergenza nell’arco temporale che va da gennaio a giugno del 2021 e fornito dati nel 77% delle richieste.

Anche Discord è stato colpito

Peraltro Apple e Meta non sono le sole aziende colpite dal raid in questione. È stato Krebs on Security a riferire che gli hacker hanno attaccato anche Discord, altra nota piattaforma di social media. La conferma è arrivata proprio dalla società, che ha ammesso di aver evaso positivamente anche una richiesta legale contraffatta. Il processo di verifica attivato ha in questo caso confermato la legittimità dell’account delle forze dell’ordine, il quale era però stato compromesso. Discord ha nel frattempo allertato le stesse sull’accaduto.

Come si può facilmente comprendere, quindi, si tratta di un problema di grandi dimensioni. Reso ancora più grave dal fatto che a complicare il tutto è l’esistenza di decine di migliaia di corpi di polizia diversi, partendo dai piccoli dipartimenti di polizia per arrivare alle grandi agenzie federali, in ogni parte del globo. Inoltre le varie giurisdizioni rispondono a leggi diverse per quanto riguarda la richiesta e il rilascio dei dati degli utenti.

In pratica, quindi, non esiste un sistema centralizzato in grado di risolvere i complessi problemi relativi ai dati sensibili. A ricordarlo è Jared Der-Yeghiayan, direttore della società di sicurezza informatica Recorded Future Inc. ed ex responsabile del programma informatico presso il Dipartimento per la sicurezza interna. Ciò vuol dire che ogni singola agenzia prevede una gestione diversa, contribuendo a seminare incertezza nelle controparti.

Dove vanno a finire i dati hackerati?

Come abbiamo già ricordato, i dati carpiti dagli hacker possono fare da base a vere e proprie truffe di carattere finanziario. Gran parte di questi dati, però, sono destinati a finire nel Dark Web, ovvero la parte più oscura di Internet, nella quale hanno luogo i traffici di stupefacenti, armi ed esseri umani.

I mercati che lo popolano, in particolare, mettono in vendita un gran numero di account di posta elettronica compromessi delle forze dell’ordine, insieme con i cookie e i metadati allegati, ad un prezzo compreso tra i 10 e i 50 dollari. A sottolinearlo è Gene Yoo, amministratore delegato della società di sicurezza informatica Resecurity, Inc.

Molti di essi sono disponibili grazie agli attacchi portati a termine lo scorso anno grazie alla presenza di buchi nei server di posta elettronica di Microsoft Exchange. Tanto da spingere Allison Nixon ad affermare che al momento è abbastanza complicato riuscire a risolvere il problema collegato alla pratica delle richieste contraffatte. In altri termini, occorre soltanto attendere il prossimo attacco di questo genere e valutarne i danni.