في مخطط احتيالي متقن استغل الهاكرز من خلاله ثغرة قانونية في سياسة عمل الشركات جعلت كلاً من آبل و ميتا (الشركة الأم لفيسبوك) تسلمهم بيانات خاصة بالمستخدمين بملء إرادتها ودون الحاجة للقيام بأي هجمات، حيث انتحل مجموعة من الهاكرز صفة أمنية رسمية وأرسلوا طلبات مزورة إلى تلك الشركات تطالب بالحصول على بيانات عدد من العملاء، واستجابت الشركتان لهذه الطلبات وقدمت معلومات حساسة تتعلق بالمستخدمين بما فيها عناوين IP الخاصة بهم وأرقام هواتفهم وحتى عناوين منازلهم.
آبل
مجموعة من الهاكرز خدعوا شركتي آبل وميتا
ورغم النظام الصارم الذي تتبعه كلا الشركتين للتحقق من شرعية هذا الإجراء قبل تسليم البيانات، إلا أنهما وقعتا فريسة لعملية تصيد احتيالي ونجح الهاكرز في خداعهم، حيث قال المتحدث باسم ميتا “آندي ستون” إن لديهم إجراءات أمنية للتحقق من الطلبات القانونية، وأضاف إنهم يحظرون الحسابات المخترقة المعروفة ويعملون مع سلطات إنفاذ القانون للرد على الحوادث المتعلقة بالتطبيقات الاحتيالية المشتبه بها، وهذا ما فعلوه هذه المرة، وكذلك أشارت آبل إلى الإجراءات الأمنية التي تطبقها والسياسات التي تتبعها للتحقق من شرعية هذه الطلبات، ولكن غالبًا ما تفشل جميع هذه الإجراءات حين تأتي الطلبات من بريد إلكتروني مرتبط بوكالات شرعية موثوقة.
عند قيام قوى الأمن بتحقيقات جنائية غالبًا ما يلجأ ضباط إنفاذ القانون إلى شركات التكنولوجيا ومنصات التواصل الاجتماعي لتزويدهم بالبيانات المطلوبة لمالكي حسابات معينة لاستكمال التحقيقات، وإن تسليم هذه الشركات لبيانات المستخدمين هو أمر مشروع ومنصوص عليه في القانون الأمريكي، ولا يتم ذلك إلّا بإرسال طلب رسمي بأمر من المحكمة –أمر استدعاء أو مذكّرة تفتيش- أي بمعنى أدق يجب أن يحمل هذا الطلب توقيعًا من القاضي.
وبموجب هذا القانون تقدم شركات مثل فيسبوك وآبل وغيرهما البيانات المطلوبة بانتظام إلى القوى الأمنية كلما تلقّت طلبًا منها، كما أن لديها فرقاً متخصصة للرد على هذه الطلبات، ولكن هناك حالات يكون الوقت فيها عاملًا حاسمًا ولذا تكون الطلبات أكثر مرونة بحيث يتم إرسالها غير موقعة من القاضي وتسمى بـ “طلبات بيانات الطوارئ EDR”
وهذه الطلبات مصمّمة للحالات عالية الخطورة والتي تكون فيها حياة شخص أو أكثر مهددة بالخطر مثل حالات الاختطاف وغيرها، وهنا تكون الشركات أمام خيارين إما المخاطرة بحياة شخص ما من خلال أخذ وقتهم والانتظار لتأكيد هوية المرسل، أو المخاطرة بتسريب بيانات المستخدم من خلال الاستجابة السريعة وتقديمها دون التحقق من هوية المرسل.