في حادثة غريبة من نوعها، صدرت تقارير تكشف عن وقوع Apple و Meta في عملية احتيال نفذها القراصنة على الشركتين عبر استغلال ثغرة في نظام طلب البيانات الطارئة “EDR” مما تسبب في تسريب بيانات حساسة تخص المستخدمين تتضمن العنوان ورقم الهاتف ورمز “IP” حسب Bloomberg. فماذا حدث بالضبط؟ ومن نفذ هذا؟ وما رد الشركتين حيال هذه التقارير؟ هذا ما سوف سنجيب عليه.
وقائع الحادث الذي تعرضت له Apple و Meta
لا شك أن جميع الأشخاص تقريباً يستخدمون على الأقل إحدى الخدمات التي تقدمها شركات كبرى بحجم Microsoft و Google و Apple و Meta وغيرهم، وبالطبع لا يُستثنى الخارجون عن القانون من هؤلاء الأشخاص، ولذلك فإن المسؤولين عن تنفيذ القانون لديهم الصلاحيات الكافية لطلب البيانات الضرورية لضبط المُتهم والتحقيق في الجرائم، فيستطيعون إرسال طلبات البيانات الطارئة “EDR” للشركات الكبرى لمشاركة البيانات الضرورية التي تخص الجناة والمجني عليهم للمساعدة في حل القضايا الماثلة أمامهم. رغم أن طلبات بمثل هذه الأهمية تتطلب إذن من النيابة العامة أو أمر قضائي، إلا أن طلبات البيانات الطارئة “EDR” لا تتطلبهما.
لدينا عملية قانونية للشرطة تساعدهم في الحصول على معلومات من مزودي الخدمة، ثم لدينا عملية الطوارئ هذه، كما ترى في مسلسل Law & Order عندما يقولون إنهم بحاجة إلى معلومات معينة بشكل فوري.
مارك راش المدعي العام السابق بوزارة العدل الأمريكية
وجد القراصنة في مثل هذه الثغرة مجالاً خصباً للحصول على بيانات المستخدمين الحساسة لابتزازهم بها فيما بعد والحصول على الأموال مقابل التخلص من هذه البيانات. يوضح Pocketnow أنه بعد الحصول على الاسم التعريفي “ID” للبريد الإلكتروني الخاص بالموظفين المسؤولين عن تنفيذ القانون، قام القراصنة بتقليد حسابات البريد الإلكتروني واستخدموه لإرسال طلبات لشركات أهمها Apple و Meta مطالبين إياها بتسليم بعض البيانات الحساسة التي تخص المستخدمين. رغم أن شركات التكنولوجيا العملاقة لديها طرق للتأكد من هذه الطلبات، ولكن أحياناً تقع الأخطاء، وبذلك حصل القراصنة على البيانات التي طلبوها!
وفقاً لتقرير صدر من KrebsOnSecurity، فإن القراصنة الذين يقومون ببيع الاسم التعريفي “ID” للبريد الإلكتروني يزداد عددهم يوماً بعد يوم. على الجانب الآخر يبحث المشترون الاسم التعريفي للجهات المسؤولة من أجل استهداف المنصات واستخراج معلومات حساسة عن المستخدمين. يكشف التقرير أيضاً عن إجمالي عدد طلبات البيانات الطارئة التي استقبلتها الشركتين ونسبة الطلبات التي استجابت لها، فقد استقبلت Apple ما يزيد عن 1,160 طلباً واستجابت لحوالي 93% منها، فيما استقبلت Meta ما يزيد عن 21,500 طلباً واستجابت لحوالي 77% منها.
قد تكون مجموعة $LAPSUS المسؤول الرئيسي عن هذا الحادث!
يرجح KrebsOnSecurity أن المجموعة اللاتينية $LAPSUS المعروفة بعمليات الابتزاز وراء هذا الحادث، ويُعتقد بأنه قد انضم إلى هذه المجموعة بعض من أعضاء Recursion Team للجرائم السيبرانية. يُذكر أن $LAPSUS قامت مؤخراً باستهداف Nvidia و Samsung و Microsoft و Okta و Vodafone، والمجموعة معظمها مكون مراهقين طائشين يرغبون في تحقيق نزواتهم الشخصية بأية طريقة حتى لو تضرر عدد كبير من الناس أو تعرقل سير العدالة بسبب فقدان الثقة في نظام طلب البيانات الطارئة “EDR”.
بعد استهداف Microsoft نشرت الشركة مدونة توضح فيها أن $LAPSUS نجحت في إصابة أهدافها من خلال مجموعة من الهجمات منخفضة التقنية، والتي تنطوي غالباً على وسائل قديمة منها رشوة الموظفين أو المسؤولين بالجهة المُستهدفة، ووسائل أخرى مثل استبدال شريحة SIM بأخرى لتسهيل عملية اختراق الحساب والوصول إلى البريد الإلكتروني الشخصي للموظفين، ودفع أموال لهم مقابل الموافقة على المصادقة المتعددة “MFA” لاختراق الشركة، وأخيراً التجسس على مكالمات الهدف.
ما الذي قالته Apple و Meta عن الحادث؟
تواصلت The Verge مع Apple و Meta للتعليق على الحادث. لم تعلق Apple بشكل مباشر، وإنما أشارت إلى الإجراءات الاحترازية التي تتبعها، فإذا أرسلت إحدى جهات تنفيذ القانون طلب البيانات الطارئة، عادةً ما يتم الاتصال بالموظف المسؤول عن الطلب للتأكد من مشروعيته.
أما Meta، فقد صرحت أنها تقوم بمراجعة كل طلب للبيانات باستخدام أنظمة متقدمة للتحقق من صحته واكتشاف محاولات تزويره، وتمنع الحسابات المُخترقة من تقديم الطلبات والعمل مع سلطات تنفيذ القانون للرد على الحوادث التي تنطوي على طلبات احتيالية مُشتبه بها، وهذا ما فعلته في هذا الحادث.
كيف يمكن لشركات التكنولوجيا تفادي مثل هذه الثغرات؟
عملياً لا توجد طريقة واضحة لتفادي ثغرات مثل هذه، حيث يقول الرئيس التنفيذي لمؤسسة Resecurity للأمن السيبراني بأنه من الصعب جداً إيجاد حل بسيط لهذه الثغرات. لا توجد بوابة محددة لإرسال طلبات البيانات الطارئة، فكل مؤسسة لها طريقتها الخاصة. يشير تقرير من Bloomberg إلى أن الاختصاص بإرسال هذه الطلبات أمر معقد جداً، فتوجد عشرات الآلاف من الوكالات المتخصصة بتنفيذ القانون؛ أقسام الشرطة الصغيرة والإدارات الفيدرالية حول العالم. المشكلة أن لكل هيئة قضائية طريقة مختلفة فيما يتعلق بطلب البيانات التي تخص المستخدمين.
يتمحور حل مشكلة الاستخدام السيء لنظام طلب البيانات الطارئة في ثلاث نقاط أساسية متوازية؛ أولها إصلاحات تشريعية وتنظيمية بين الهيئات القضائية والتنفيذية المختلفة داخل الدولة، وثانيها وضع بروتوكولات وآليات لإجراءات طلب هذه الهيئات لبيانات المستخدمين، وثالثها الشفافية بين الشركات والمستخدمين في مدى انتهاك خصوصياتهم لكيلا تقع بياناتهم الهامة في الأيدي الخطأ. لم يتم تسريبات بيانات خطيرة، ولكن لدى شركات التكنولوجيا معلومات كثيرة عن المستخدمين قد يتم تسريبها إذا لم يتم إيجاد حلول فعالة في مكافحة هذه الحوادث.