A Apple e a Meta, empresa controladora do Facebook, Instagram e WhatsApp, forneceram dados pessoais de usuários a um grupo de hackers que se passaram por autoridades policiais. As informações são da Bloomberg, em matéria publicada nesta quarta-feira, 30, mas a ocorrência teria acontecido em meados de 2021.
A agência de notícias informa que, em conversa com três fontes anônimas, as empresas entregaram dados básicos de clientes – como endereço, telefones e endereços de IP – ao serem solicitadas “informações de emergência” em um pedido que depois se descobriu falso. Especialistas ouvidos pela reportagem dizem que, apesar de serem dados considerados primários, podem deixar os usuários vulneráveis a golpes financeiros.
Normalmente, essas informações são fornecidas apenas com a apresentação de um mandado de busca ou intimação assinada por um juiz. No entanto, quando há pedidos de emergência, como aconteceu, não há a necessidade de ordem judicial e as empresas devem cooperar com as investigações, já que se trata de perigos iminentes.
Nesse caso, os hackers teriam usado endereços de e-mail oficiais da polícia e forjaram assinaturas em documentos para conseguirem os acessos.
Nesta mesma semana, a plataforma Discord confirmou que também cedeu dados após receber um documento de hackers se passando por autoridades. A Snap também teria recebido uma solicitação falsa dos mesmos hackers, mas não se sabe se a empresa forneceu dados em resposta.
Pesquisadores de segurança cibernética suspeitam que alguns dos hackers que enviaram as solicitações são menores de idade e estão localizados no Reino Unido e nos EUA, incluindo um membro do grupo hacker Lapsus$ – mesmo grupo que violou dados da Microsoft, Samsung e Ministério da Saúde do Brasil, entre outras empresas.
Acredita-se que hackers afiliados a um grupo de crimes cibernéticos conhecido como “Recursion Team” também estejam por trás de algumas das solicitações fraudulentas. O Recursion Team, no entanto, não está mais ativo, mas muitos de seus membros continuam realizando hacks com nomes diferentes, inclusive como parte do Lapsus$, disseram fontes ouvidas pela Bloomberg.
A Apple e a Meta confirmam o caso, mas garantem que impõem diversas padronizações para evitar fraudes. Em seu relatório de transparência, a Apple afirma que recebeu quase 1,2 mil pedidos urgentes de informações entre julho e dezembro de 2020 vindos de 29 países, atendendo a 93% desses pedidos. Já a Meta declara que foram mais de 21,7 mil pedidos entre janeiro e junho de 2021 no mundo, cooperando em 73% dos casos.
A falta de uma regulamentação para esses pedidos é uma falha que precisa ser revisada, apontam especialistas, que defendem processos mais seguros para que as empresas não fiquem suscetíveis a crimes.
Leia também: TikTok anuncia integração com e-commerce e WhatsApp Business para empresas anunciantes