Dagens hackere er kjent for å ofte benytte sofistikerte metoder for å oppnå målene sine, men noen ganger kan de «enkleste» teknikkene vise seg å være bemerkelsesverdig effektive. Det har vi nå fått et nytt eksempel på.
Som blant andre avisen Daily Mail rapporterer skal en gjeng unge hackere ha klart å lure gigantene Apple og Facebook-eieren Meta til å gi fra seg persondata «frivillig», simpelthen ved å utgi seg for å være representanter for offentlige myndigheter.
Det var nettstedet Bloomberg som først meldte om saken.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
Falske nødforespørsler
Hendelsen fant sted i fjor og gikk ut på at hackerne kompromitterte et antall e-postkontoer tilhørende politimyndigheter. Disse ble benyttet til å sende nødforespørsler om utlevering av persondata til de to teknologiselskapene.
Som kjent mottar aktører ofte forespørsler om utlevering av data i forbindelse med for eksempel etterforskning av kriminalitet, men slike krever som oftest rettsordrer for å kunne gjennomføres.
I nødstilfeller, ved det som på engelsk kalles Emergency Data Request (EDR), kan imidlertid dette kravet fravikes. Dette utnyttet altså hackerne, ifølge kildene Bloomberg var i kontakt med.
Dataene som gjerningspersonene fikk tak i på denne måten omfattet blant annet IP-adresser, telefonnumre og hjemadresser. Informasjonen skal ha blitt brukt til å utføre økonomisk kriminalitet gjennom identitetstyveri, og i tillegg skal dataene også ha blitt brukt til å trakassere ofrene for lekkasjen.
Har trolig tilknytning til Lapsus$
Det er en hackergruppe ved navn Recursion Team som antas å stå bak. Gruppen skal nå være oppløst, men bestod angivelig av unge hackere i tenårene. Noen av de tidligere medlemmene skal ha tilknytning til hackergruppen Lapsus$, deriblant den britiske 16-åringen som antas å være hjernen bak denne gruppen.
Lapsus$ er kjent for å bruke uortodokse hackemetoder, som blant annet omfatter sosial manipulering og forsøk på rekruttering av interne spioner hos bedriftene som gruppen angriper.
En talsperson for Facebook sa i en kommentar til Daily Mail at selskapet nøye vurderer hver eneste forespørsel om utlevering av data, og at det benyttes avanserte systemer og prosesser for å verifisere at forespørslene er ekte.
I dette tilfellet kan det med andre ord se ut til å ha skjedd en heller alvorlig glipp i prosedyrene.
Den kjente IT-sikkerhetsskribenten Brian Krebs omtalte den nye hackemetoden på bloggen sin nylig, hvor han omtaler trenden som både skremmende og svært effektiv.
En sikkerhetsspesialist Krebs var i kontakt med uttalte at problemet med falske nødforespørsler er svært vanskelig å fikse, blant annet fordi det ikke finnes en sentralisert liste over personer som er autorisert til å sende ut slike forespørsler.
![Fra gutterommet har tenåringen lyktes med å bryte seg inn hos flere tungvektere i IT-bransjen.](https://images.gfx.no/130x87/2721/2721147/hacker.png)
Sikkerhets-etterforskere: Hjernen bak Lapsus$ er 16 år og bor hos moren sin utenfor Oxford