Apple und Meta mit falschen E-Mails reingelegt

Medienberichten zufolge haben Apple und Meta in Einzelfällen in den USA und Großbritannien datenschutzrelevante Kundendaten herausgegeben. Beide Firmen sind dabei auf gefälschte E-Mails hereingefallen, die jedoch von „echten“ Accounts verschickt wurden. Möglich machte dies offenbar der Handel mit Accountinformationen von Strafverfolgungsbehörden im Darknet. Am Ende könnte eine Hacker-Gruppierung namens Lapsus$, um einen minderjährigen Briten dahinterstecken.

Hacker (Symbolbild), Bild: CC0

Notfall-Anfragen von echten E-Mail-Accounts

Die Agentur Bloomberg berichtet unter Verweis auf „drei“ Personen, die mit der Angelegenheit vertraut seien, dass sowohl Apple als auch die Facebook-Mutter Meta mit sogenannten Notfall-Anfragen von Strafverfolgungsbehörden per E-Mail hereingelegt worden sind. Auch Snap Inc., der Konzern hinter Snapchat, habe solche E-Mails bekommen, es sei jedoch nicht bekannt, ob das Unternehmen auf diese reagiert hätte. Sehr wohl soll auch Discord schon personenbezogene Daten auf Grund ähnlicher Vorgehensweise zu Unrecht herausgegeben haben.

Normalerweise geben Unternehmen persönliche Daten von Nutzer:innen nur dann heraus, wenn Strafverfolgungsbehörden sich auf richterliche Anordnung hin an sie wenden. Ausnahmen gibt es mitunter in manchen Ländern, wenn „Gefahr im Verzug“ ist und entsprechend eine Notfall-Anfrage gestellt wird. Sowohl Apple als auch Meta sollen in einigen Fällen in Großbritannien und den USA Auskunft erteilt haben, da die Anfragen von „echten“ E-Mail-Accounts stammten.

Kundendaten herausgegeben

Auf solche Anfragen hin hätten die beiden Unternehmen zum Beispiel Adressdaten, Telefonnummern und IP-Adressen herausgegeben. Die Vorfälle datieren offenbar zurück auf Mitte 2021.

Minderjährige Hacker verantwortlich?

Laut IT-Spezialisten stammten mindestens einige der gefälschten Anfragen von Minderjährigen Hackern aus Großbritannien und den USA. Tatsächlich soll der führende Kopf hinter vielen der Anfragen aus der Hacker-Gruppierung „Lapsus$“ stammen, die in der jüngeren Vergangenheit unter anderem Microsoft, Samsung und Nvidia hacken konnte.

In diesem Zusammenhang kam es offenbar in London zu sieben Festnahmen. Die Vernehmungen der Verantwortlichen würden jedoch noch andauern.

Apple Inc. and Meta Platforms Inc., the parent company of Facebook, provided customer data to hackers who masqueraded as law enforcement officials, according to three people with knowledge of the matter.

Weitere Hacker im Verdacht?

Daneben sollen aber auch Hacker aus dem Umfeld der Gruppe „Recursion Team“ im Jahr 2021 gefälschte Anfragen gestellt haben. Diese Gruppierung löste sich zwar auf, Mitglieder davon sind aber unter anderem in der vorbenannten Lapsus$-Gruppe weiterhin aktiv.

Belästigung und Finanzbetrug die Folge?

Auf jeden Fall sollen die Daten aus den gefälschten Anfragen laut der Informanten Bloombergs dazu genutzt worden sein, die entsprechenden Personen zu belästigen. Darüber hinaus sehen Experten aber auch finanzielle Ausbeutung und Betrug als mögliches Ziel.

E-Mails für 10 bis 50 US-Dollar im Darknet erwerbbar

Die gefälschten Anfragen sollen über Monate hinweg an diverse Technologie-Konzerne verschickt worden sein. Dabei sollen auch Unterschriften von echten und fiktiven Mitarbeitern von Strafverfolgungsbehörden genutzt und gefälscht worden sein. Den Zugriff auf entsprechende E-Mails-Accounts bekamen die Hacker mitunter im Darknet. Dort werden kompromittierte E-Mail-Accounts laut Experten für mitunter nur 10 US-Dollar gehandelt, sonst auch für 50 US-Dollar.

Bloomberg liegen offenbar auch konkrete Details zu einzelnen Opfern vor, die die Redaktion dort jedoch aus gutem Grund nicht veröffentlicht.

Ausmaß nicht fassbar

In welchem Umfang Hacker auf diese Weise Zugriff auf persönliche Daten Dritter erhalten haben, ist nicht genau auszumachen. Sowohl Apple als auch Meta geben aufgrund bestimmter Transparenzverordnungen regelmäßig Auskunft über Anfragen von Strafverfolgungsbehörden und anderen Parteien, und wie häufig diesen Anfragen stattgegeben wurde.

Experten betonen, dass im vergangenen Jahr Strafverfolgungsbehörden vermehrt Opfer von Hackerangriffen wurden. Einige davon gehen auf Sicherheitslücken in Microsoft Exchange E-Mail-Server zurück.