Fake-Notfallanfragen: Apple und Meta gaben angeblich Nutzerdaten preis

Durch Zugriff auf Mail-Adressen von Strafverfolgern konnten Hacker offenbar Nutzerdaten bei Diensten abfragen. In Notfällen werden Daten schnell herausgegeben.

Kriminelle haben durch Schwachpunkte bei der Bearbeitung von Behördenanfragen offenbar Zugriff auf Nutzerdaten populärer Dienste erhalten. Mit erschlichenen Zugängen zu E-Mail-Systemen von Strafverfolgungsbehörden sei es Hackern im vergangenen Jahr möglich gewesen, sogenannte Notfallanfragen an große Plattformbetreiber zu stellen und gezielt Nutzerdaten anzufragen, wie Krebs on Security berichtet. Im Unterschied zu normalen Auskunftsersuchen von Behörden werden die Notfallanfragen gewöhnlich direkt bearbeitet und benötigen keine richterliche Anweisung.

Sowohl Apple als auch die Facebook- und Instagram-Mutter Meta haben auf gefälschten Notfallanfragen hin Mitte des Jahres 2021 Nutzerdaten an Hacker herausgegeben, wie die Finanznachrichtenagentur Bloomberg unter Verweis auf informierte Personen berichtet. Dabei seien "Basisdetails" zu Nutzern wie Adresse, Telefonnummer und IP-Adresse übermittelt worden. Die Kommunikationsplattform Discord bestätigte gegenüber Bloomberg, ebenfalls Daten herausgerückt zu haben. Die Quelle der Anfrage sei bei der Überprüfung als legitim eingestuft worden, betonte Discord, erst später wurde erkannt, dass sie durch einen "böswilligen Akteur kompromittiert worden war". Auch der Snapchat-Betreiber Snap hat entsprechende Anfragen erhalten, ob dort ebenfalls Daten preisgegeben wurden, bleibt unklar.
Der Hacker-Gruppe Lapsus$ zugeschriebene Teenager bewarben diese Möglichkeit zur gezielten Abfrage von Nutzerdaten den Berichten zufolge in Foren und verlangten jeweils rund 100 bis 250 US-Dollar dafür, schreibt Krebs on Security. Damit würden sich Nutzerdaten von praktisch jedem Dienst abfragen lassen, die auch Strafverfolger erhalten können, hieß es dort.

Gegenüber US-Medien verwies Apple in einer Stellungnahme auf seine Richtlinien zur Handhabung von Behördenanfragen. "Wenn ein solches Notfall-Auskunftsersuchen der Regierungs- oder Strafverfolgungsbehörde zu Kundendaten gestellt wird, kann der Dienstvorgesetzte des Ermittlungsbeamten, der die Notfallanfrage eingereicht hat, kontaktiert werden, um gegenüber Apple zu bestätigen, dass es sich um eine berechtigte Notfallanfrage handelt", erläuterte der Konzern dort.

Weiterlesen:

https://www.heise.de/news/Fake-Notfallan...is-6659288.html

Ja, passiert unentwegt. Kann man nichts machen, niemand hat schuld, nicht wahr? Und muss sich jemand dafür verantworten, dass er viel Geld verdient, aber doof ist? Natürlich nicht. Datenschutz in Deutschland ist ja wohl ein Witz!