Senát si začíná všímat zpráv, že hackeři falšují „nouzové žádosti o data“, aby získali data od technologických společností, jako je Apple, přičemž jedna z nich začíná vyšetřovat otázku ochrany osobních údajů.
29. března se objevila zpráva, která odhalovala, že hackeři využívají kompromitovaných vládních a policejních e-mailových účtů a umožňují jim předstírat, že jsou policisty. Pomocí e-mailových účtů a připojených služeb byli hackeři v některých případech schopni vyžadovat data od technologických společností.
Konkrétně hackeři zneužili „nouzové žádosti o data“ (EDR), požadující údaje o tvrzení, že hrozí bezprostřední újma nebo smrt. EDR mohou poskytnout vymáhání práva údaje naléhavě, aniž by vyžadovaly soudní příkaz nebo předvolání.
Protože však není možné rychle ověřit legitimitu EDR, hackeři jsou s touto technikou úspěšní.
Po úvodní zprávě a následném potvrzení od Bloomberg 30. března potvrdil, že Apple vyhověl některým žádostem, problém upoutal pozornost zákonodárců.
V prohlášení k KrebsOnSecurity Senátor Ron Wyden ve čtvrtek řekl, že problém je „obrovskou hrozbou pro bezpečnost Američanů a národní bezpečnost“. Wyden byl dále znepokojen vyhlídkou, že některé EDR „mohou pocházet od kompromitovaných zahraničních agentur pro vymáhání práva a pak použity k zacílení zranitelných jedinců“.
Wyden řekl, že požaduje informace od technologických společností a federálních agentur, aby se o problému dozvěděl více. „Nikdo nechce, aby technologické společnosti odmítaly legitimní nouzové žádosti, když je v sázce něčí bezpečnost, ale současný systém má jasné slabiny, které je třeba řešit,“ řekl senátor.
Není to poprvé, co se Wyden zabývá problémem autentizace, pokud jde o soudní příkazy. V červenci 2021 Wyden a další senátoři představili zákon o digitální autenticitě pro soudní příkazy, který by požadoval poskytnutí fondu státním a kmenovým soudům, které by jim pomohly zavést technologii digitálního podpisu k potenciálnímu omezení padělaných soudních příkazů.
Vzhledem k tomu, že současná EDR jsou vedena prostřednictvím kompromitovaných legitimních e-mailových účtů bez skutečného způsobu, jak potvrdit identitu, je pravděpodobné, že podobný systém digitálního podpisu by mohl být použit donucovacími orgány pro podobný účinek.
Zdroj: appleinsider.com
