Les pirates ont obtenu des données utilisateur de Meta avec une demande falsifiée

Les pirates ont utilisé de fausses demandes d'application de la loi ou du gouvernement pour voler des informations sur les utilisateurs de la société mère de Facebook, Meta

Les pirates ont utilisé de fausses demandes d’application de la loi ou du gouvernement pour voler des informations sur les utilisateurs de Meta, la société mère de Facebook.

L’année dernière, le propriétaire de Facebook, Meta, a donné des informations sur les utilisateurs à des pirates qui se sont fait passer pour des responsables de l’application des lois, a déclaré mercredi une source de l’entreprise, soulignant les risques d’une mesure utilisée dans les cas urgents.

Les imposteurs ont pu obtenir des détails tels que des adresses physiques ou des numéros de téléphone en réponse à des “demandes de données d’urgence” falsifiées, qui peuvent franchir les barrières de la confidentialité, a déclaré la source qui a requis l’anonymat en raison de la sensibilité du sujet.

Les pirates informatiques ont compromis des comptes de messagerie ou des sites Web liés à la police ou au gouvernement et ont affirmé qu’ils ne pouvaient pas attendre l’ordonnance d’un juge pour obtenir des informations car c’est une “question urgente de vie ou de mort”, a écrit mardi le cyber-expert Brian Krebs.

L’agence de presse Bloomberg, qui avait initialement signalé que Meta était ciblé, a également signalé qu’Apple avait fourni des données client en réponse à de fausses demandes de données.

Apple et Meta n’ont pas officiellement confirmé les incidents, mais ont fourni des déclarations citant leurs politiques de traitement des demandes d’informations.

Lorsque les responsables américains de l’application des lois veulent des données sur le propriétaire d’un compte de médias sociaux ou un numéro de téléphone portable associé, ils doivent soumettre un mandat ou une assignation à comparaître officiel ordonné par le tribunal, a écrit Krebs.

Mais dans les cas urgents, les autorités peuvent faire une “demande de données d’urgence”, qui “contourne largement tout examen officiel et n’oblige pas le demandeur à fournir des documents approuvés par le tribunal”, a-t-il ajouté.

Meta, dans un communiqué, a déclaré que la société examine chaque demande de données pour “suffisance juridique” et utilise “des systèmes et des processus avancés” pour valider les demandes des forces de l’ordre et détecter les abus.

“Nous empêchons les comptes compromis connus de faire des demandes et travaillons avec les forces de l’ordre pour répondre aux incidents impliquant des demandes présumées frauduleuses, comme nous l’avons fait dans ce cas”, ajoute le communiqué.

Apple a noté ses directives, qui stipulent que dans le cas d’une demande d’urgence “un superviseur du gouvernement ou d’un agent chargé de l’application de la loi qui a soumis la… demande peut être contacté et invité à confirmer à Apple que la demande d’urgence était légitime”.

Krebs a noté que l’absence d’un système national unitaire pour ce type de demandes est l’un des principaux problèmes qui leur sont associés, car les entreprises finissent par décider comment les traiter.

“Pour compliquer les choses, il existe des dizaines de milliers de juridictions policières dans le monde, dont environ 18 000 aux États-Unis seulement, et tout ce qu’il faut pour que les pirates réussissent, c’est un accès illicite à un seul compte de messagerie de la police”, a-t-il écrit.


Un rapport d’Apple montre 30 000 requêtes de données d’application de la loi


© 2022 AFP

Citation: Les pirates ont obtenu des données utilisateur de Meta avec une requête falsifiée (2022, 31 mars) récupérée le 31 mars 2022 sur https://techxplore.com/news/2022-03-hackers-user-meta-forged.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.