Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Fake-Notfallanfragen: Apple und Meta gaben angeblich Nutzerdaten preis

Durch Zugriff auf Mail-Adressen von Strafverfolgern konnten Hacker offenbar Nutzerdaten bei Diensten abfragen. In Notfällen werden Daten schnell herausgegeben.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen

(Bild: bluesroad/Shutterstock.com)

Lesezeit: 2 Min.
Mac & i
Von

Kriminelle haben durch Schwachpunkte bei der Bearbeitung von Behördenanfragen offenbar Zugriff auf Nutzerdaten populärer Dienste erhalten. Mit erschlichenen Zugängen zu E-Mail-Systemen von Strafverfolgungsbehörden sei es Hackern im vergangenen Jahr möglich gewesen, sogenannte Notfallanfragen an große Plattformbetreiber zu stellen und gezielt Nutzerdaten anzufragen, wie Krebs on Security berichtet. Im Unterschied zu normalen Auskunftsersuchen von Behörden werden die Notfallanfragen gewöhnlich direkt bearbeitet und benötigen keine richterliche Anweisung.

Basisdaten zu Nutzern übermittelt

Sowohl Apple als auch die Facebook- und Instagram-Mutter Meta haben auf gefälschten Notfallanfragen hin Mitte des Jahres 2021 Nutzerdaten an Hacker herausgegeben, wie die Finanznachrichtenagentur Bloomberg unter Verweis auf informierte Personen berichtet. Dabei seien "Basisdetails" zu Nutzern wie Adresse, Telefonnummer und IP-Adresse übermittelt worden. Die Kommunikationsplattform Discord bestätigte gegenüber Bloomberg, ebenfalls Daten herausgerückt zu haben. Die Quelle der Anfrage sei bei der Überprüfung als legitim eingestuft worden, betonte Discord, erst später wurde erkannt, dass sie durch einen "böswilligen Akteur kompromittiert worden war". Auch der Snapchat-Betreiber Snap hat entsprechende Anfragen erhalten, ob dort ebenfalls Daten preisgegeben wurden, bleibt unklar.

Der Hacker-Gruppe Lapsus$ zugeschriebene Teenager bewarben diese Möglichkeit zur gezielten Abfrage von Nutzerdaten den Berichten zufolge in Foren und verlangten jeweils rund 100 bis 250 US-Dollar dafür, schreibt Krebs on Security. Damit würden sich Nutzerdaten von praktisch jedem Dienst abfragen lassen, die auch Strafverfolger erhalten können, hieß es dort.

Apple: Datenherausgabe bei 93 Prozent der Notfallanfragen

Gegenüber US-Medien verwies Apple in einer Stellungnahme auf seine Richtlinien zur Handhabung von Behördenanfragen. "Wenn ein solches Notfall-Auskunftsersuchen der Regierungs- oder Strafverfolgungsbehörde zu Kundendaten gestellt wird, kann der Dienstvorgesetzte des Ermittlungsbeamten, der die Notfallanfrage eingereicht hat, kontaktiert werden, um gegenüber Apple zu bestätigen, dass es sich um eine berechtigte Notfallanfrage handelt", erläuterte der Konzern dort.

Laut dem letzten veröffentlichten Transparenzbericht hat Apple im zweiten Halbjahr 2020 insgesamt 1162 solcher "Emergency Requests" erhalten, in 93 Prozent davon wurden Daten herausgegeben. Das kann neben Basisinformationen "in bestimmten Fällen" auch sensible iCloud-Daten wie iPhone-Backups, Fotos und Kontakte umfassen, wie der Konzern erklärt. Über die iPhone-Backups können Strafverfolger – oder theoretisch eben auch Hacker – zudem Zugriff auf die iMessage-Kommunikation von Nutzern erhalten.

Lesen Sie auch

(lbe)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten