De grandes entreprises technologiques ont fourni des informations personnelles sensibles sur leurs clients en réponse à des demandes légales frauduleuses. Des attaquants ont utilisé des données volées sur certains médias sociaux pour harceler et extorquer sexuellement des mineurs. L’information du journal Bloomberg. Demandes illégales et frauduleuses De grandes entreprises technologiques ont partagé des informations personnelles sensibles sur leurs clients en réponse à des demandes légales frauduleuses. Les données obtenues sont des armes pour cibler des femmes et des mineurs. Dans certains cas, elles ont même été utilisées pour faire pression sur eux afin qu’ils génèrent et partagent du matériel sexuellement explicite. Concrètement, ce vol de données se déroule comme tel : les attaquants compromettent le système de messagerie d’un organisme étranger chargé de l’application de la loi. Ensuite, ils envoient une “demande de données d’urgence” à un géant de la technologie comme Meta et Apple. De fausses forces de l’ordre Les entreprises victimes de ces fausses demandes comprennent Meta Platforms Inc, Apple Inc, Google d’Alphabet Inc, Snap Inc, Twitter Inc et Discord Inc. Concrètement, les attaquants parviennent à se faire passer pour des agents des forces de l’ordre. Et, étant donné que les demandes semblent provenir de services de police légitimes, il est difficile pour les entreprises de savoir quand elles ont été amenées à communiquer des données d’utilisateurs. Ainsi, face à cette nouvelle forme de criminalité en ligne qui implique des victimes mineures, les lanceurs d’alerte et les entreprises technologiques commencent à réfléchir à de nouveaux moyens de vérifier les demandes légales légitimes. Un outil criminel inquiétant Les forces de l’ordre et d’autres enquêteurs considèrent cette nouvelle technique de fraude comme le plus récent outil criminel permettant d’obtenir des informations permettant d’identifier des personnes. Elle peut servir à percevoir de l’argent mais aussi à extorquer et harceler des victimes innocentes. En fait, le cœur de ce problème se trouve le fait que les demandes d’urgence ne nécessitent pas d’ordonnance judiciaire signée par un juge. Cela signifie que les entreprises ne sont pas dans l’obligation de divulguer des informations, mais elles finissent souvent par le faire de “bonne foi”. Généralement, les services de police demandent un accès à ces données dans les cas où un danger imminent est possible. Par exemple, en cas de suicide, de meurtre et d’enlèvement. En réponse, les entreprises technologiques fournissent à l’attaquant des informations de base sur l’utilisateur. À savoir, le nom de l’utilisateur, son adresse IP, son adresse électronique et son adresse physique.