اپل احتمالا در سال گذشته به صورت ناخواسته اطلاعات کاربران را در اختیار گروهی از هکرها قرار داده که خود را به عنوان مقام دولتی معرفی کرده بودند. اپل صراحتا این ماجرا را تایید نکرده اما گزارشها حاکی از آن است که سازنده آیفون تنها شرکت هدف هکرها نبوده است.
در یک کلاهبرداری مهندسی اجتماعی در سال ۲۰۲۱، هکرها خود را مجری قانون جا زدند و با استفاده از «درخواستهای اضطراری داده»، اطلاعات کاربران را از اپل دریافت نمودهاند. بر اساس اطلاعات سه منبع مطلع از این اتفاقات، این هکرها اپل را متقاعد کردند تا دادههایی از جمله آدرس مشتری، شماره تلفن و آدرس IP را به آنها بدهد.
درخواستهای داده اضطراری جعلی، از شرکتها میخواهد که سریعا پاسخ دهند و اطلاعات را به سازمانهای اجرایی بفرستند. این درخواست برخلاف احضاریه یا حکم بازرسی است که پس از طی مراحل قانونی مناسب ایجاد میشوند، چون درخواستهای اضطراری برای رسیدگی به تهدیدات قریبالوقوع استفاده میشوند. بلومبرگ از اپل درخواست کرد که به این موضوع پاسخ دهد و یکی از نمایندگان اپل در پاسخ گفت که منابع خبری به دستورالعملهای اجرای قانون اپل مراجعه نمایند. طبق دستورالعملهای اپل، باید از یک ناظر دولتی یا افسر مجری قانون که درخواست را ارائه کرده، تاییدیه گرفته شود که درخواست اضطراری مشروع بوده یا خیر.
هکرها با تسلط بر دامنههای ایمیل مجریان قانون در کشورهای مختلف، درخواستهای داده اضطراری را با موفقیت جعل کردند. از امضای جعلی یا واقعی مقامات نیز برای مشروع و قانع کننده جلوه دادن این درخواستها استفاده شده است.
این گزارش میافزاید که برخی از هکرها ممکن است افراد کم سن و سال آمریکایی یا بریتانیایی باشند و حداقل یکی از آنها عضو گروه شناخته شده Lapsus$ است. لازم به ذکر است Lapsus$ کمپانیهای بزرگ مانند مایکروسافت، سامسونگ و انویدیا را در حملات باج افزاری، هدف قرار داده است.
فیسبوک نیز تایید کرده که به طور ناخواسته اطلاعات محرمانه کاربران را به همان گروه هکری موسوم به «تیم بازگشت» داده است. بنابر بر گزارشها، فیسبوک در حال همکاری با مقامات دولتی در مورد درخواستهای جعلی میباشد.
طبق گزارش، هکرها اطلاعات به دست آمده از فیسبوک و اپل را برای کمپینهای آزار و اذیت و ارتکاب کلاهبرداری مالی استفاده کردهاند.