Hackers vragen persoonlijke data op bij techbedrijven via gehackte politieaccounts
Sommige hackers hebben een efficiënte manier gevonden om persoonlijke data van iemand te achterhalen: ze doen zich voor als agent die de informatie dringend nodig heeft ‘voor een zaak van leven of dood’.
De methode is even simpel als geniaal. Wanneer er informatie formeel wordt opgevraagd bij een sociaal netwerk of ander technologiebedrijf, moet dat via een verzoekschrift van de rechter gaan. Maar in gevallen van leven of dood duurt die procedure te lang en wordt er gevraagd om de informatie alvast door te spelen.
Securityonderzoeker Brian Krebs ontdekte dat het daar fout loopt. Met behulp van gehackte e-mailaccounts van politieagenten kunnen criminelen geloofwaardig en met succes zulke dataverzoeken sturen.
Er worden geen concrete gevallen genoemd, maar de aanbieders van zo’n accounts promoten de optie om onder meer data op te vragen bij SnapChat, Apple, Uber, Instagram en anderen. Krebs merkt op dat op hackersfora dergelijke accounts voor een paar honderd dollar te koop zijn. Het risico dat je neemt is enorm, maar vraagt verder weinig technische kennis.
De facto kunnen ze virtueel alles opvragen zoals chatlogs, verzonden of ontvangen foto’s of locaties. De techbedrijven gaan meestal snel in op zo’n Emergency Data Request of EDR, en willen snel helpen om te voorkomen dat hun getalm kan leiden tot iemands dood, waardoor interne processen worden overgeslagen.
Het probleem lijkt zich vooral, maar niet exclusief, voor te doen in de VS. Krebs merkt op dat er in het land alleen al zo’n 18.000 verschillende politiediensten zijn, waardoor techbedrijven zulke verzoeken uit alle hoeken kunnen krijgen, met enkel het mailadres als legitimering dat het van een politiedienst afkomstig is.
Fout opgemerkt of meer nieuws? Meld het hier