Techbedrijven Apple en Meta, het moederbedrijf van Facebook, hebben adressen, telefoonnummers en IP-adressen van klanten gegeven aan criminelen die zich voordeden als opsporingsambtenaren, meldt Bloomberg op basis van drie ingewijden. Door het delen van die gegevens zijn mogelijk mensen lastiggevallen en opgelicht.

Voordat techbedrijven in de VS klantgegevens prijsgeven aan opsporingsinstanties is normaal gesproken een ondertekend bevel door de rechter nodig. In het geval van een noodverzoek hoeft dat niet, vanwege het acuut dreigende gevaar dat meestal ten grondslag ligt aan zo'n verzoek.

Een groep hackers heeft dergelijke noodverzoeken nagemaakt en naar meerdere techbedrijven verstuurd. Ook het moederbedrijf van Snapchat kreeg zulke verzoeken, maar ging er niet op in. Het is onduidelijk hoeveel verzoeken de hackers in totaal hebben verstuurd en in hoeveel gevallen ze succes hebben gehad.

Lapsus$

Volgens verschillende experts zijn de verzoeken verstuurd door minderjarige hackers in de VS en het VK, schrijft Bloomberg. Ze zouden lid zijn van de groep Lapsus$ die onder meer Microsoft en Samsung heeft gehackt. Afgelopen week werden zeven mensen opgepakt in Londen op verdenking van lidmaatschap van Lapsus$.

Bronnen zeggen tegen Bloomberg dat de hackers de verzoeken verstuurden via gehackte mailadressen van opsporingsdiensten in verschillende landen. Bij het hacken van de mailservers hebben de criminelen mogelijk echte documenten met noodverzoeken gezien, waarna ze konden worden nagemaakt.

In een reactie tegen Bloomberg zegt Apple dat de persoon die het verzoek doet "benaderd kan worden en gevraagd kan worden te bevestigen dat het noodverzoek legitiem was". Apple gaat niet inhoudelijk in op de berichtgeving over de uitwisseling van klantgegevens. Meta zegt dat ze "ieder verzoek om data toetsen op juridische toereikendheid en geavanceerde systemen en processen gebruiken om verzoeken van opsporingsdiensten te valideren en misbruik te detecteren".