Apple und Meta haben User-Daten an Hacker weitergegeben

Anschriften, Telefonnummern und IP-Adressen von zahlreichen Apple und Facebook Usern befinden sich inzwischen in der Hand von Hackern, die sich illegal Zugang zu Systemen US-amerikanischer Strafvollzugsbehörden verschafft hatten. Getarnt als Beamt:innen dieser Behörden haben die Kriminellen dann dringende Anfragen an die Tech-Unternehmen verschickt, um sich Zugriff zu den personenbezogenen Daten zu verschaffen. Normalerweise wird diese Anfragen nur mit richterlichem Beschluss oder Durchsuchungsbefehl stattgegeben – bei sogenannten Notfallanfragen werden aber in Einzelfällen trotzdem Daten geteilt. Wie Bloomberg berichtet, ist noch nicht klar, wie viele Daten die Hacker erbeuten konnten.

Notfallanfragen auch an Snap Inc. gesendet

Der Bericht von William Turton bei Bloomberg offenbart, dass nicht nur Apple und Meta, sondern auch Snap Inc. Opfer der gefälschten Anfragen geworden ist. Bei letzterem Konzern bleibt zunächst jedoch unklar, ob Daten herausgegeben wurden. Bei Meta und Apple wiederum war es, wie Bloomberg unter Berufung auf Unternehmenskreise angibt, zur Datenweitergabe gekommen.

Die Täter:innen hatten sich mit Anfragen, bei denen es zum Teil vermeintlich „um Leben oder Tod“ ging, über die Anforderungen von richterlichen Beschlüssen und Durchsuchungsbefehlen hinweggesetzt. Auf Metas Website heißt es entsprechend:

In emergencies, law enforcement may submit requests without legal process. Based on the circumstances, we may voluntarily disclose information to law enforcement where we have a good faith reason to believe that the matter involves imminent risk of serious physical injury or death.

Dabei gehen Cybersicherheitsexpert:innen davon aus, dass womöglich einige Teenager aus den USA und dem Vereinigten Königreich hinter dem Angriff stecken könnten. Einer der Teenager soll sogar der Kopf hinter der Gruppe Lapsus$ sein, die zuletzt Microsoft, Samsung und Nvidia hacken konnte.

Mithilfe der erbeuteten Daten könnten Einzelpersonen, die Apple und Facebook nutzen, zum Opfer von Finanzbetrug, digitaler Belästigung oder vergleichbarer Betrugsmuster werden.

Metas Sprecher Andy Stone äußerte sich gegenüber Bloomberg:

We review every data request for legal sufficiency and use advanced systems and processes to validate law enforcement requests and detect abuse. We block known compromised accounts from making requests and work with law enforcement to respond to incidents involving suspected fraudulent requests, as we have done in this case.

Sicherheitsmechanismen bei Apple, Meta und Co. sind fragwürdig

Alle großen Tech-Unternehmen haben Mechanismen, die dafür sorgen, dass mit Anfragen zum Datenerhalt und mit Notfallanfragen sensibel umgegangen wird. Allerdings verwalten die Plattformen die Notfallanfragen nach eigenem Ermessen. So hat beispielsweise Meta von Januar bis Juni 2021 21.700 solcher Anfragen erhalten – und in 77 Prozent der Fälle zumindest teilweise Daten herausgegeben. Sowohl das Stellen als auch das Verwalten und Bearbeiten solcher Anfragen kann aufgrund der vielen E-Mail-Portale und Zuständigkeiten von Behörden für bestimmte Anfragekontexte zu einem komplizierten Verfahren werden.

Cyberexperte Brian Krebs, der über den Zugang der Hacker zu den System der Strafvollzugsbehörden berichtet, geht davon aus, dass schon der illegitime Zugang zu einer Polizei-E-Mail-Adresse ausreichen könnte, um via Notfallanfrage letztlich User-Daten zu erbeuten. Er beklagt in seinem Beitrag auch das Fehlen eines übergeordneten Systems für diverse Tech-Unternehmen.

Apple gibt an, dass laut Richtlinien auch die Option im Raum steht, bei Notfallanfragen stets eine zuständige Person der betreffenden Behörde um eine Bestätigung zu bitten. Allerdings dürfte diese Sicherheitsmaßnahme, die für alle Tech-Unternehmen ohne Weiteres umsetzbar scheint, im Rahmen der zahlreichen Anfragen, die monatlich eingehen, nicht immer Anwendung gefunden haben. Auch deshalb konnten die sensiblen Daten der User mithilfe eines durchdachten, aber letztlich durchschaubaren Betrugssystems entwendet werden.

Noch ist nicht bekannt, wie viele User betroffen sind und ob diese zeitnah von Apple und Meta über die Kompromittierung unterrichtet werden. Die Unternehmen werden den Fall womöglich nun intern weiter untersuchen.