Sebuah laporan baru telah mengungkap wahyu memberatkan terhadap Meta dan Apple, mengklaim bahwa perusahaan memberikan data sensitif kepada peretas yang menyamar sebagai penegak hukum pada tahun 2021. Informasi yang diakses termasuk alamat pengguna, nomor telepon, alamat IP, dan lain-lain. Laporan tersebut mengklaim bahwa peretas menggunakan permintaan data darurat palsu untuk mengelabui Apple dan Meta agar memberikan informasi.
Pengungkapan ini pertama kali dilakukan oleh Bloomberg (melalui Pocketnow), merinci bagaimana penjahat dunia maya menipu raksasa industri teknologi untuk membagikan data pengguna yang sensitif. Sudah menjadi rutinitas bagi aparat penegak hukum untuk menghubungi platform media sosial untuk melacak tersangka. Sebagian besar permintaan semacam itu memerlukan surat perintah penggeledahan atau panggilan pengadilan. Namun, penegak hukum dapat melewati proses ini menggunakan permintaan data darurat, yang biasanya dianggap sensitif terhadap waktu.
Peretas memahami dengan jelas kesalahan dalam sistem ini dan memanfaatkannya sepenuhnya. Tapi prosesnya tidak semudah itu. Penyerang pertama-tama menargetkan email pejabat penegak hukum, kemudian menggunakan kredensial ini untuk mengirimkan permintaan ke kedua perusahaan. Meskipun ada sistem verifikasi bawaan untuk permintaan semacam itu, beberapa lolos.
Iklan
Grup peretas Lapsus$ mungkin berada di balik serangan ini
Tidak ada jawaban pasti tentang orang tersebut atau kelompok yang memimpin serangan ini. Namun laporan dari KrebsOnSecurity menunjukkan bahwa kelompok pemerasan data terkenal Lapsus$ dapat bertanggung jawab. Lapsus$ juga bertanggung jawab atas serangan data terhadap perusahaan seperti Microsoft, NVIDIA, Okta, dan Vodafone di masa lalu. Laporan tersebut mencatat bahwa beberapa anggota kelompok peretas yang sekarang sudah bubar, Tim Rekursi, mungkin telah bergabung dengan Lapsus$.
Secara keseluruhan, Apple menanggapi 93% dari 1.162 permintaan data darurat, sementara Meta melewati 77% dari 21.500 permintaan data. Peretas dilaporkan menyerang dan mengumpulkan data sensitif setidaknya selama tujuh bulan mulai Januari 2021.
Seorang juru bicara Meta memberikan pernyataan kepada The Verge, mengatakan bahwa perusahaan memeriksa setiap permintaan data untuk”kecukupan hukum”dan penggunaan “sistem dan proses lanjutan untuk memvalidasi permintaan penegakan hukum dan mendeteksi penyalahgunaan.”
Advertisement
“Kami memblokir akun yang diketahui disusupi agar tidak membuat permintaan dan bekerja sama dengan penegak hukum untuk menanggapi insiden yang melibatkan dugaan permintaan penipuan, seperti yang telah kami lakukan dalam kasus ini,” kata juru bicara lebih lanjut.
Apple juga memberikan pernyataan sebagai tanggapan atas tuduhan ini. “Jika pemerintah atau lembaga penegak hukum mencari data pelanggan sebagai tanggapan atas Permintaan Informasi Pemerintah & Penegakan Hukum Darurat, supervisor untuk pemerintah atau agen penegak hukum yang mengajukan Permintaan Informasi Pemerintah Darurat & Penegakan Hukum dapat dihubungi dan diminta untuk mengonfirmasi ke Apple bahwa permintaan darurat itu sah,” kata juru bicara perusahaan.
