شرکتهای بزرگ عموما اشتباهات عجیب و غریبی مرتکب میشوند که گاهی اوقات واقعا رخ دادن آن تعجب برانگیز است. مانند اتفاقی که اخیرا افتاده است و شاهد تحویل اشتباهی اطلاعات کاربران به هکرها توسط اپل و متا هستیم. گویا این دو شرکت تصور کردهاند این هکرها مقاماتی دولتی هستند. با ترنجی همراه باشید.
هیچ کس نمیتواند امنیت دادههای شما را تضمین کند. وقتی این را میگوییم، به معنای واقعی کلمه منظورمان هیچ کس است. به نظر میرسد که حتی غولهای فناوری مانند اپل و متا نیز نمیتوانند اطلاعات کاربران خود را ایمن نگهدارند. همانطور که بلومبرگ گزارش میدهد، این دو شرکت اطلاعات کاربران خود را اشتباها به هکرها تحویل دادهاند.
این حادثه در اواسط سال ۲۰۲۱، زمانی رخ داد که هکرها دستورات درخواست داده اضطراری را جعل کرده بودند. معمولا ماموران نیروی پلیس چنین دستوراتی را به این شرکتها ارسال میکنند. دادههای منتقل شده شامل آدرسهای IP، شماره تلفن و آدرس منزل آنها است. این مکانیسم چگونه کار میکند؟ باید بگوییم که این موضوع یک راز نیست و مقامات و مجریان قانون به طور مکرر اطلاعاتی را از سیستم پلتفرمهای اجتماعی درخواست میکنند. آنها برای تحقیقات جنایی به چنین دادههایی نیاز دارند.
با استفاده از این دادهها، آنها میتوانند اطلاعاتی در مورد صاحب یک حساب آنلاین خاص به دست آورند. البته در بیشتر موارد چنین درخواستهایی مستلزم احضاریه یا حکم بازرسی است که توسط قاضی امضا شده باشد. اما در موارد اضطراری پلیس میتواند این قانون را دور بزند. هکرها از این موقعیت برای دستیابی به دادههای مورد نیاز خود استفاده کردهاند.
اگرچه ما فقط یک مورد را با اپل و متا ذکر میکنیم، اما درخواستهای جعلی برای دریافت دادههای اضطراری بسیار رایج هستند. الگوریتم خاصی برای دریافت داده وجود دارد. آنها باید به سیستمهای ایمیل اداره پلیس دسترسی داشته باشند. پس از آن، آنها درخواست داده اضطراری را جعل میکنند. در مورد دوم، هکرها خطر بالقوه را توصیف میکنند؛ آنها حتی میتوانند بگویند که دادههای درخواستی به درستی ارسال نشده است. بنابراین آنها به موارد دیگری هم نیاز دارند.
موضوع جالبتر اینکه در اکثر موارد مشابه، این افراد به اصطلاح هکر، نوجوان هستند. به هر حال، همیشه این چنین نیست که آنها افراد کارکشته و متخصص باشند. چنین حملاتی توسط اعضای یک گروه مجرم سایبری به نام Recursion Team انجام شده است. هکرها به حسابهای سازمانهای مجری قانون در بسیاری از کشورها دسترسی پیدا کردهاند. همچنین، آنها شرکتهای زیادی را از ژانویه ۲۰۲۱ هدف قرار دادهاند.
اندی استون، مدیر امنیت و ارتباطات متا در بیانیهای ایمیلی به The Verge گفته است که ما هر درخواست داده را برای قانونی بودن بررسی میکنیم و از سیستمها و فرآیندهای پیشرفته برای تایید درخواست مجریان قانون و کشف سوء استفادههای احتمالی استفاده میکنیم. ما حسابهای در معرض خطر شناخته شده را از درخواستها مسدود میکنیم و با مجریان قانون برای پاسخگویی به حوادث مربوط به درخواستهای مشکوک به تقلب کار میکنیم، همانطور که در این مورد بارها چنین کاری انجام دادهایم.
در همین راستا، The Verge تلاش کرده تا نظراتی را از اپل در مورد این پرونده دریافت کند. اما آنچه شرکت مستقر در کوپرتینو گفت، فقط دستورالعملهای مجریان قانون بوده است بود. آنها میگویند که اگر دولت یا یک سازمان مجری قانون به دنبال دادههای مشتریان باشد، ممکن است با ناظر دولت یا مامور اجرای قانون که درخواست اطلاعات اضطراری را ارسال کرده است تماس گرفته شود و از او خواسته شود که این درخواست را تایید کند. اپل اعلام کرد که این درخواست اضطراری قانونی بوده است.
به گفته GizChina، در گذشته، هکرها از درخواستهای جعلی دریافت دادههای اضطراری برای حمله به سایر شرکتها نیز استفاده میکردند. حالا هم چیزی مشابه با اسنپ چت و دیسکورد اتفاق افتاده است. پیتر دی، مدیر گروه ارتباطات شرکتی دیسکورد گفته است که این تاکتیک تهدیدی مهم در سراسر صنعت فناوری است. ما به طور مداوم در حال سرمایه گذاری در قابلیتهای امنیتی و افزایش ایمنی خود برای رسیدگی به مسائل نوظهور مانند این هستیم. نظر شما در این مورد چیست؟ آیا چنین اشتباهاتی قابل توجیه هستند؟!
