FSS không có thông tin nhạy cảm của khách hàng

Apple, Google bị lừa cung cấp thông tin nhạy cảm của khách hàng

Trong số những công ty bị lừa cung cấp thông tin nhạy cảm về khách hàng có những gã khổng lồ công nghệ nổi bật như Meta Platforms, Apple, Google, Snap, Twitter và Discord.

Bloomberg dẫn tin từ bốn quan chức thực thi pháp luật liên bang và hai nhà điều tra trong ngành cho biết, các công ty công nghệ lớn của Mỹ đã bị lừa cung cấp thông tin cá nhân nhạy cảm về khách hàng để đáp ứng yêu cầu pháp lý gian lận. Dữ liệu thu được được dùng để nhắm mục tiêu đến phụ nữ và trẻ vị thành niên. Trong một số trường hợp, nó còn gây áp lực buộc nạn nhân phải tạo và chia sẻ nội dung khiêu dâm. Nếu từ chối, họ sẽ bị quấy rối, trả đũa và đe dọa.

Hành động gian lận nêu trên được cơ quan thực thi pháp luật và các nhà điều tra coi là công cụ tội phạm mới nhất để thu thập thông tin nhận dạng cá nhân. Điều đặc biệt đáng lo ngại là những kẻ tấn công đã thành công trong việc đóng giả nhân viên thực thi pháp luật. Hiện cơ quan thực thi pháp luật và các công ty công nghệ vẫn đang cố gắng đánh giá phạm vi vấn đề. Vì yêu cầu cung cấp dữ liệu người dùng dường như đến từ cơ quan cảnh sát hợp pháp, nên rất khó để các công ty biết khi nào họ đã bị lừa.

Meta Platforms, Apple, Google, Snap, Twitter và Discord được báo cáo nằm trong danh sách những công ty công nghệ bị lừa cung cấp dữ liệu khách hàng

"Năm 2021, chúng tôi phát hiện ra một yêu cầu dữ liệu gian lận đến từ những kẻ đóng giả quan chức chính phủ hợp pháp. Chúng tôi đang tích cực làm việc với cơ quan thực thi pháp luật và những bên liên quan trong ngành để phát hiện, ngăn chặn các yêu cầu cung cấp dữ liệu bất hợp pháp", người phát ngôn của Google nói.

Trả lời vấn đề, Meta cho biết luôn xem xét mọi yêu cầu dữ liệu về "tính hợp pháp và sử dụng hệ thống, quy trình tiên tiến để xác thực các yêu cầu thực thi pháp luật, cũng như phát hiện hành vi lạm dụng". Tương tự, theo người phát ngôn của Snap Rachel Racusen, công ty luôn xem xét cẩn thận từng yêu cầu nhận được từ cơ quan thực thi pháp luật "để đảm bảo tính hợp lệ và có nhiều biện pháp bảo vệ để phát hiện yêu cầu gian lận". Discord luôn xác thực tất cả các yêu cầu khẩn cấp. Trong khi đó, Twitter và Apple từ chối bình luận.

Được biết, yêu cầu khẩn cấp thường không bao gồm lệnh tòa do thẩm phán ký. Vì vậy, các công ty sẽ không có nghĩa vụ pháp lý phải cung cấp dữ liệu. Tuy nhiên, có một thực tế được chấp nhận chung là các công ty thường sẽ chuyển dữ liệu hạn chế để đáp ứng yêu cầu "thiện chí" của cơ quan thực thi pháp luật.

Gian lận theo mô hình chung

Mặc dù cách thức thực hiện các cuộc tấn công là khác nhau, nhưng chúng có xu hướng tuân theo một mô hình chung. Hành vi gian lận bắt đầu với việc thủ phạm xâm nhập hệ thống email của một cơ quan thực thi pháp luật nước ngoài. Sau đó, kẻ tấn công sẽ giả mạo "yêu cầu dữ liệu khẩn cấp" gửi đến cho một công ty công nghệ, với mục đích tìm kiếm thông tin về tài khoản người dùng. Thông thường, những yêu cầu như vậy hay được cơ quan thực thi pháp luật sử dụng để lấy thông tin tài khoản trực tuyến trong trường hợp liên quan đến tình huống nguy hiểm sắp xảy ra như tự sát, giết người hoặc bắt cóc.

"Những kẻ gian lận biết cách tạo quy trình pháp lý hợp pháp như trát đòi hầu tòa và lệnh khám xét bằng cách giả mạo chữ ký của thẩm phán", ông Matt Donahue, người sáng lập công ty phần mềm Kodex, nói.

Dữ liệu được cung cấp khác nhau tùy theo từng công ty, nhưng nhìn chung bao gồm tên, địa chỉ email, địa chỉ IP và địa chỉ thực của khách hàng. Một số công ty có thể còn cung cấp nhiều dữ liệu hơn. Dù có vẻ như vô hại, nhưng nếu rơi vào tay kẻ xấu thì những dữ liệu cá nhân này sẽ trở thành vũ khí để tấn công khách hàng.

Theo các nguồn thạo tin, kẻ tấn công đã áp dụng một số kỹ thuật quấy rối để trả đũa khi khách hàng từ chối yêu cầu của chúng. Một trong những kỹ thuật phổ biến được triển khai là "swatting", theo đó thủ phạm sẽ bịa đặt tình huống giả và gọi điện cho một điều phối viên 911 địa phương để tạo ra phản ứng thực thi pháp luật đến địa chỉ của nạn nhân bị nhắm mục tiêu.

Một cách tiếp cận khác là "doxxing", liên quan đến việc công bố trực tuyến thông tin cá nhân chi tiết, bao gồm số điện thoại, địa chỉ thực của nạn nhân và các thành viên gia đình của họ. Về cơ bản, nó đóng vai trò như một lời mời để những người khác trên mạng quấy rối nạn nhân. Ngoài ra, thủ phạm còn đe dọa gửi tài liệu khiêu dâm do nạn nhân cung cấp đến bạn bè, gia đình và trường học, nếu không tuân thủ yêu cầu.

Trong tuyên bố vào tháng trước, thượng nghị sĩ bang Oregon Ron Wyden, cho biết ông đang thu thập thông tin từ các công ty công nghệ về việc thực hiện yêu cầu pháp lý giả mạo. "Không ai muốn các công ty công nghệ từ chối yêu cầu khẩn cấp hợp pháp khi sự an toàn của ai đó đang bị đe dọa, nhưng hệ thống hiện tại có những điểm yếu rõ ràng cần được giải quyết".