Google heeft bevestigd dat hackers erin zijn geslaagd een vals account aan te maken in het Law Enforcement Request System (LERS). Dit interne platform wordt door opsporingsdiensten gebruikt om officiële dataverzoeken, zoals dagvaardingen en spoedopvragingen, rechtstreeks bij Google in te dienen.
Frauduleus account
In een verklaring aan BleepingComputer liet het bedrijf weten: “We hebben vastgesteld dat een frauduleus account in ons systeem voor politieverzoeken is aangemaakt en dit account inmiddels uitgeschakeld. Er zijn met dit frauduleuze account geen verzoeken ingediend en er is geen data ingezien.”
Claims van hackersgroep
De bevestiging volgt op berichten van een hackersgroep die zichzelf de “Scattered Lapsus$ Hunters” noemt. Op Telegram beweerde de groep toegang te hebben gehad tot zowel Google’s LERS-portaal als het eCheck-systeem van de FBI, dat wordt gebruikt voor achtergrondcontroles. De hackers publiceerden zelfs screenshots om hun claims kracht bij te zetten, kort nadat zij aankondigden “onder de radar” te gaan.
Hoewel de FBI weigerde commentaar te geven, zorgen de claims voor onrust. Toegang tot LERS of eCheck zou kwaadwillenden namelijk in staat kunnen stellen zich voor te doen als politie of inlichtingendienst en zo gevoelige gebruikersdata te bemachtigen.
Verbinding met eerdere datadiefstallen
De groep zegt banden te hebben met beruchte cybercriminelen zoals Shiny Hunters, Scattered Spider en Lapsus$. Eerder dit jaar voerden zij grootschalige aanvallen uit op Salesforce-data, waarbij zij via social engineering medewerkers wisten te misleiden om interne tools te koppelen en zo bedrijfsgegevens buitmaakten. Ook hackten ze de GitHub-repository van Salesloft en gebruikten de tool Trufflehog om toegangstokens te vinden die verdere aanvallen mogelijk maakten.
Getroffen organisaties
Tot de getroffen organisaties behoren onder meer Google, Adidas, Qantas, Allianz Life, Cisco, Louis Vuitton, Dior, Tiffany & Co, Cloudflare, Zscaler, Elastic, Proofpoint, JFrog, Rubrik en Palo Alto Networks.
Sleutelrol
Google’s eigen Threat Intelligence-divisie Mandiant speelde een sleutelrol in het blootleggen van deze aanvallen, iets wat de hackersgroep niet onberoerd liet. In posts op Telegram spotten zij openlijk met de FBI, Google, Mandiant en andere beveiligingsonderzoekers.
Belang van waakzaamheid
Donderdagavond verscheen er nog een lange boodschap waarin de groep aankondigde dat stilte voortaan hun kracht zou zijn. Toch denken veel beveiligingsexperts dat de aanvallers niet verdwijnen, maar hun activiteiten stilletjes zullen voortzetten.
Met dit incident onderstreept Google opnieuw het belang van waakzaamheid, ook binnen systemen die bedoeld zijn voor de bescherming van gebruikersdata.