Falsche Behördenanfragen: Apple händigt Kundendaten an Hacker aus

Apple und die Facebook-Mutter Meta sollen auf falsche Behördenanfragen hereingefallen sein und diese mit der Preisgabe privater Bestandskunden-Daten beantwortet haben. Dies will der Wirtschaftsachrichten-Dienst Bloomberg in Erfahrung gebracht haben und beruft sich auf drei mit der Angelegenheit vertraute Quellen. Zuvor hatte der Sicherheitsexperte Brian Krebs ähnliches berichtet.

Kundendaten per E-Mail angefragt

Demnach hätten Hacker die beiden Großkonzerne kontaktiert und sich als Mitarbeiter von Strafverfolgungsbehörden vorgestellt, die unter Zeitdruck auf die Erfüllung von Notfallgesuchen, sogenannten „emergency data request“ (EDR), gedrängt haben sollen.

Die im amerikanischen Raum verbreiteten EDRs benötigen anders als reguläre Auskunftsersuchen keine richterliche Zustimmung und haben dazu geführt, dass Apple die eingereichten Anfragen auf dem kurzen Dienstweg beantwortet und dabei Inhalte wie Anschriften, Telefonnummern und IP-Adressen preisgegeben haben soll.

In den hauseigenen Richtlinien für Rechtsverfahren (PDF-Download) schreibt Apple, dass dringende Notfallgesuche per E-Mail einzureichen sind und von einer offiziellen Regierungs-Adresse mit dem Betreff „Emergency Request“ verschickt werden müssen. Für die Kontaktaufnahme außerhalb der Kernarbeitszeiten steht eine Telefon-Hotline zur Verfügung.

Dark-Web-Dienstleistung von Kindern

Derzeit gehen Sicherheitsexperten davon aus, dass die „Emergency Request“ gegen Gebühr als illegale Dienstleistung im Dark-Web angeboten wurden und machen die selben, teils minderjährigen Cyberkriminellen für die Anfragen verantwortlich, die unter dem Kürzel „Lapsus$“ bereits mit Hacks bei Microsoft, Nvidia und Samsung auf sich aufmerksam machten.

Die Kosten für einen vorgetäuschten „Emergency Request“ sollen zwischen 100 und 250 US-Dollar gelegen haben.