Tội phạm giả danh cảnh sát lừa Apple, Google gửi dữ liệu nhạy cảm để tống tiền và tình

Khoa học - công nghệ - Ngày đăng : 22:29, 27/04/2022

Các công ty như Apple, Google, Discord và Snapchat đã tuân thủ các yêu cầu về dữ liệu từ email của cảnh sát mà bọn tội phạm giả danh và sử dụng.

Tội phạm sử dụng dữ liệu thu được để quấy rối tình dục trẻ vị thành niên và tống tiền.

Yêu cầu dữ liệu khẩn cấp được thực hiện qua thông tin đăng nhập của cảnh sát bị đánh cắp như email, dẫn đến việc các công ty công nghệ chia sẻ dữ liệu người dùng nhạy cảm với bọn tội phạm.

Vì các yêu cầu dữ liệu khẩn cấp thường được đưa ra một cách thiện chí, nên các hãng công nghệ đôi khi có thể phản hồi mà không cần trát đòi hầu tòa chính thức. Tuy nhiên, những yêu cầu này đều giả mạo.

Theo báo cáo từ trang Bloomberg, dữ liệu bị đánh cắp đã được sử dụng để tống tiền nạn nhân bằng nhiều chiến thuật dựa trên người có liên quan. Các nguồn tin được trích dẫn trong báo cáo cho biết các yêu cầu giả mạo dường như được sử dụng chủ yếu để gian lận tài chính, nhưng một tỷ lệ phần trăm không xác định đã được dùng cho mục đích tống tiền, tống tình phụ nữ và trẻ vị thành niên.

Dữ liệu được cung cấp khác nhau tùy theo công ty, nhưng thường bao gồm tên, địa chỉ IP, địa chỉ email và địa chỉ thực. Một số công ty cung cấp nhiều hơn những hãng khác, nhưng nguyên tắc chung là chỉ cung cấp những dữ liệu cần thiết trong phạm vi yêu cầu.

Ví dụ: Nếu có được tên, địa chỉ và tên người dùng của một người, tội phạm có thể liên hệ trực tiếp với họ và đe dọa nạn nhân, đưa cảnh sát giả danh đến nhà họ để buộc tội, hoặc sử dụng hình ảnh để tống tiền. Điều này có thể dẫn đến nhiều hình thức tống tiền, thao túng và kiểm soát nạn nhân.

toi-pham-gia-danh-canh-sat-lua-apple-google-gui-du-lieu-nhay-cam.jpg
Apple gọi quyền riêng tư là quyền cơ bản của con người và cố gắng giữ an toàn cho dữ liệu của người dùng

Alex Stamos, cựu Giám đốc an ninh của Facebook, cho biết: “Tôi biết rằng các yêu cầu dữ liệu khẩn cấp được sử dụng trong các trường hợp khẩn cấp đe dọa tính mạng thực hàng ngày và thật bi thảm là cơ chế này đang bị lạm dụng để bóc lột tình dục trẻ em.

Các sở cảnh sát sẽ phải tập trung vào việc ngăn chặn các hành vi xâm phạm tài khoản bằng xác thực đa yếu tố và phân tích tốt hơn hành vi của người dùng. Các công ty công nghệ nên thực hiện chính sách gọi lại xác nhận cũng như thúc đẩy cơ quan thực thi pháp luật sử dụng các cổng chuyên dụng của họ để có thể phát hiện tốt hơn việc chiếm đoạt tài khoản".

Google, Discord và Facebook đã trả lời báo cáo, nói rằng họ đều có quy trình xác minh cho các yêu cầu đến.

Twitter và Apple từ chối bình luận về vấn đề này, dù Apple có cung cấp một tài liệu chi tiết về cách họ xử lý các yêu cầu dữ liệu từ chính phủ.

Các quan chức chính phủ Mỹ đang xem xét nhiều cách khác nhau để ngăn chặn các cuộc tấn công như vậy xảy ra.

Nicholas Weaver thuộc Đại học California (thành phố Berkeley, Mỹ) đề xuất sử dụng FBI như nhà cung cấp danh tính duy nhất cho tất cả cơ quan thực thi pháp luật của bang và địa phương. Tuy nhiên, ngay cả gợi ý đó cũng gặp phải các vấn đề xung quanh việc xác minh danh tính, đặc biệt là trong các cuộc điều tra nhạy cảm về thời gian.

Các nhà lập pháp Mỹ trước đó đã giới thiệu một dự luật, vào tháng 7.2021, có thể cung cấp tài chính cho các tòa án bang và bộ lạc áp dụng công nghệ chữ ký số. Điều này sẽ cắt giảm các yêu cầu gian lận xảy ra vì tội phạm sẽ cần quyền truy cập vào phần mềm ký chuyên dụng.

"Tôi đặc biệt lo lắng trước viễn cảnh rằng các lệnh khẩn cấp giả mạo có thể đến từ các cơ quan thực thi pháp luật nước ngoài bị xâm phạm và sau đó được sử dụng để nhắm mục tiêu vào những cá nhân dễ bị tổn thương. Không ai muốn các công ty công nghệ từ chối các yêu cầu khẩn cấp hợp pháp khi sự an toàn của ai đó đang bị đe dọa, nhưng hệ thống hiện tại có những điểm yếu rõ ràng cần được giải quyết", Thượng nghị sĩ Mỹ - Ron Wyden nói.

Sơn Vân