苹果、谷歌和Snapchat等公司遵从了犯罪分子伪造的警方电子邮件数据请求,这些犯罪分子利用获得的数据骚扰和勒索未成年人。
通过偷来的警察证书(如电子邮件)提出的紧急数据请求,导致科技公司与犯罪分子分享敏感的用户数据。由于紧急数据请求通常是出于善意,科技公司有时可以在没有正式传票的情况下做出回应,不过,据了解这些传票也是伪造的。
根据彭博社的一份报告,被盗的数据被用来根据相关人员使用各种策略进行敲诈。报告中引用的消息来源称,这些伪造的请求似乎主要用于金融欺诈,包括用于对妇女和未成年人进行性敲诈。
提供的数据因公司而异,但一般包括姓名、IP地址、电子邮件地址和物理地址。有些公司提供的数据比其他公司多,但一般的经验法则是只提供请求范围内需要的数据。例如,如果犯罪分子得到一个人的姓名、地址和用户名,他们可以直接与他们联系并威胁要伤害他们,让警察以虚假指控出现在他们家(俗称拍打),甚至暗示他们已经有了明确的图像进行勒索。这可能导致各种形式的敲诈、操纵和对受害者的控制。
紧急数据请求每天都被用于真正威胁生命的紧急情况,而这一机制被滥用于对儿童进行性剥削,这是一个悲剧。警察部门要把重点放在通过多因素认证和更好地分析用户行为来防止账户泄露,科技公司应该实施确认回拨政策,以及推动执法部门使用他们的专用门户网站,在那里他们可以更好地检测账户是否出现问题。
Google、Discord和Facebook对该报道作出回应,称它们各自都有对传入请求的验证程序。Twitter和苹果拒绝就此事发表评论,不过苹果确实提供了一份详细文件,说明他们如何处理政府的数据请求。