Хакеры нацелились на американскую компанию, проверяющую запросы полиции о предоставлении данных
23/10/23
Компания Kodex действует как посредник между правоохранительными органами и технологическими компаниями, проверяя запросы на получение данных клиентов. Теперь хакеры решили сделать Kodex своей целью, пишут Securitylab.
Одна из причин существования Kodex заключается в дополнительной проверке запросов, которые технологические компании получают от правоохранительных органов. Хакеры все чаще выдают себя за сотрудников правоохранительных органов с помощью скомпрометированных государственных электронных писем, чтобы затем мошеннически требовать конфиденциальные данные от целевых компаний. Теперь сама Kodex стала целью из-за своего привилегированного положения как доверенной стороны в этой цепочке поставки данных.
Мэтт Донахью, бывший агент ФБР и ныне генеральный директор Kodex, заявил , что несколько скомпрометированных аккаунтов не имели разрешения на подачу таких запросов, и что Kodex заблокировала эти аккаунты. Однако повторяющиеся примеры преступных разговоров показывают, что Kodex привлекает внимание хакеров.
Экстренные запросы данных (EDRs) используются правоохранительными органами для получения данных от компании в ситуациях, когда они считают, что у них нет времени получить повестку, ордер на обыск или иным образом использовать более обычный юридический механизм. Например, это может быть похищение или теракт.
Kodex, запущенный в феврале 2021 года, действует как посредник в этих запросах данных. Kodex присваивает что-то вроде кредитного рейтинга каждому правоохранительному органу. Сотрудники, которые долгое время отправляли законные запросы, будут иметь более высокий рейтинг.
В сентябре 404 Media впервые связалась с Kodex для комментария по поводу скомпрометированного аккаунта. В этом случае Донахью заявил, что аккаунт был помечен их системой из-за подозрительного поведения при входе в систему и с тех пор был приостановлен.
Донахью добавил, что, несмотря на большой опыт их команды в области безопасности аккаунтов, они продолжают мониторить подозрительную активность и скомпрометированные домены электронной почты даже после того, как аккаунт был проверен на предмет EDRs.