被假警调走的用户敏感数据
2022-07-04黄莎
黄莎
多名执法部门官员及互联网业内人士透露,假借执法机构身份索要用户信息的套路近几个月来在美国频发,除了Disocord,苹果、谷歌和推特等知名互联网公司均上当受骗
今年年初,俘获Z世代的社交媒体平台Discord收到了一封“紧急情况用户数据征调申请”的邮件,邮件显示来自一个执法机构,对方所要调取的数据,关于一名来自美国印第安纳州的18岁少年。
邮件要求Discord提供这名少年使用的电话号码所关联账户的互联网地址历史记录。Discord同意了,并很快将对方所需的信息发了过去。
“我们通过检查邮件是否有真实的来源,以验证这些请求。”Discord在一份声明中说,“虽然我们的验证过程确认了执法机构的账户本身是合法的,但我们后来了解到,它已经被恶意破坏了。此后,我们对这一非法活动进行了调查,并向执法部门通报了被泄露的电子邮件账户。”而像这名少年一样数据被泄露的受害者们,迎来了无止尽的骚扰、勒索,甚至是性剥削。
据彭博社4月27日报道,多名执法部门官员及互联网业内人士透露,假借执法机构身份索要用户信息的套路近几个月来在美国频发,除了Disocord,苹果、谷歌和推特等知名互联网公司均上当受骗。由于警方在执法调查过程中经常需要平台提供用户信息,因此在多数平台看来,征调用户数据是合法的,而且事后很难说清楚他们何时被骗以及向黑客们提供了多少用户数据。对于这种最新网络犯罪套路,美国执法部门和各科技公司已经展开调查。
在美国,当联邦、州或地方执法机构希望获得某人的社交媒体账户信息,或特定手机账号使用过的互联网地址信息时,他们必须提交一份有法官签署的搜查令或传票。
实际上,所有为大量用户提供在线服务的大型科技公司都有专门的部门定期审查和处理此类请求,只要对方提供了适当的文件,而且请求“似乎”来自一个与实际警察局域名相连接的电子邮件地址,这些请求通常都会获得批准。
2022年3月29日,美国调查记者布莱恩·克雷布斯(Brian Krebs)在他的个人博客发布了一篇详尽的调查报告,指出黑客们正通过伪造“紧急情况用户数据征调申请”从互联网服务提供商、电话公司和社交媒体公司获取敏感的客户数据。克雷布斯曾经在《华盛顿邮报》当了15年的记者,以报道网络犯罪而出名。
“紧急情况用户数据征调申请”,指的是在某些情况下,涉及绑架、自杀、谋杀等迫在眉睫的伤害或死亡的案件,执法机构可能会提出紧急数据请求。紧急请求通常不要求请求者提供任何法院批准的文件,这在很大程度上绕过了任何官方审查,并极大地降低了伪造的难度。严格来说,因为这种申请不具备实际法律效力,各科技公司其实可以不予理会,但多数企业出于对官方的信任及合作诚意,往往会积极配合。
美国司法部前检察官马克·拉施 ( Mark Rasch ) 说:“大多数互联网服务提供商或科技公司都没有建立真正的机制,来验证搜查令或传票的有效性。因此,只要看起来正确,他们就会遵守。”
据执法人员介绍,黑客们攻击的具体方法各不相同,但往往遵循一个一般模式。首先,黑客会通过网络手段攻破解执法机构的电子邮件系统,并伪造“紧急情况用户数据征调申请”等官方函件,再将伪造文件出示给社交媒体公司,要求后者透露特定的用户信息,否则“无辜的人可能会遭受巨大的痛苦或死亡”。各公司提供的数据各不相同,但通常包括用户姓名、IP地址、电子邮件地址和家庭地址。
让这些公司感到头疼的是,黑客们伪造的申请与真实的申请几乎无异。黑客既然已经入侵了执法机构的电子邮件系统,他们也能在过往的记录里找到合法的“紧急情况用户数据征调申请”文件,并将其作为模板。有些邮件中的文件还伪造了签名,签名可能来自真实的执法官员,也可能是虚构的名字。在黑市上,这种假签名甚至最低只卖10美元。
苹果公司和脸书所属的社交网络公司Meta曾公布他们关于紧急数据请求的数据。公开资料显示,从2020年7月到12月,苹果公司收到了来自29个国家的1162份紧急请求,并对其中93%的请求提供了数据。 从2021年1月到6月,Meta公司在全球范围内收到了21700份紧急请求,并配合满足了其中77%的请求。
苹果公司回应媒体报道时援引了公司面对执法机构请求的指南,其中仅表示“苹果可能会联系提交数据请求的政府机构或执法部门的上级监管,要求确认紧急请求的合法性”。Meta在其网站上写道:“在紧急情况下,执法部门可能会在没有法律程序的情况下提交请求。根据情况,如果我们有充分的理由相信此事涉及迫在眉睫的严重人身伤害或死亡风险,我们可以自愿向执法部门披露信息。”
对于普通用户而言,一旦信息被平台泄露,很难有招架之力,除非从一开始就不使用任何社交媒体平台。执法部门和调查人员认为,这种获取个人身份信息的最新犯罪手段,不仅可以用来获取非法经济利益,还可以用来勒索和骚扰无辜的受害者。
黑客们掌握的数据,足以让他们轻松绕过用户的账户安全设置,入侵受害者账户,甚至有针对性地与女性和未成年人交朋友,然后鼓励或威胁他们分享性爱照片、视频。
如果受害者不遵守这些要求,黑客就会使用多种骚扰手段进行报复。一种报复手段是“报假警”,即捏造杀人放火、炸弹威胁一类严峻的警情,向当地911调度员发出虚假威胁,以便執法部门对目标地址做出回应。据执法人员介绍,地址可能是家庭住址也可能是学校。这种报复手段极其恶劣,甚至可能让受害者的性命受到威胁。《纽约时报》举例称,2020年4月,田纳西州一名60岁的男子因拒绝出售自己名为“田纳西”的推特账号而遭到黑客报复,后者报警谎称他住所内有人被谋杀。而当警方持枪登门调查时,受害男子因受惊而突发心脏病,不幸离世。
另一种报复方法是将受害者及其家人的详细个人信息发到“人肉搜索”网站,包括电话号码和地址,这本质上是一个公开的邀请,邀请网站上的其他人去骚扰受害者。
如果受害者提供了不雅照片或视频,犯罪者又会继续威胁,称如果不遵守要求,就将这些色情材料发给他们的朋友、家人和学校的管理人员。执法官员看到的在线聊天记录显示,在极端情况下,受害者被迫将犯罪者的名字刻在自己的皮肤上,并分享照片。
目前还不清楚这些欺诈性数据请求被用来性勒索未成年人的频率如何,执法部门和技术公司仍在努力评估这一问题。由于这些请求看起来似乎来自合法的执法机构,公司很难知道他们有多少次被骗从而提供了用户数据。
据彭博社报道,多家科技公司被伪造的申请欺骗发送数据,早在2021年1月就开始了,但执法官员和调查人员也表示,这种方法似乎在最近几个月变得更加普遍。
克雷布斯还采访了一個化名为KT的老牌黑客,KT称黑客们使用虚假的紧急数据请求来跟踪、攻击、骚扰和公开羞辱他人变得越来越普遍。“有正当理由相信某人有生命危险的恐怖主义威胁通常是首选。”KT说。KT还分享了最近几个黑客吹嘘用这种方法获得成功的例子,向Discord发送的针对印第安纳州的18岁少年的案例便是其中之一。Discord之后在给彭博社的一份声明中证实,他们确实满足了这个伪造的法律请求。
此类案件的司法实践也具有挑战性,因为许多犯罪者在海外,且网络安全研究人员怀疑,一些发送伪造数据请求的黑客是位于英国和美国的未成年人,其中一名未成年人被认为是网络犯罪集团Lapsus$的幕后策划者。该集团曾入侵微软公司、三星电子公司和英伟达公司等。据英国广播公司(BBC)报道,今年3月,伦敦市警察局逮捕了与Lapsus$黑客组织有关的7人,年龄在16岁至21岁,多数为未成年人,目前调查仍在进行中。
网络犯罪论坛里留有不少年轻黑客们犯罪的痕迹。我们可以看到,2021年4月5日发送的一条帖子,其标题为“逮捕令/传票服务(从任何服务机构获取执法数据)”,帖子内容为“服务(包括)苹果、Snapchat、谷歌(更贵)、不做 Discord,基本上是任何网站”,并附上“价格:每个请求100到250美元”。
而在今年的3月30日,一个昵称为“bug”的用户在另一个论坛里出售政府和警方电子邮件账户的访问权限,称只要目标账户最近处于活动状态,他就可以随意受雇对目标执行虚假的紧急数据请求。“我正在为 snapchat、twitter、ig (Instagram)等发送紧急数据请求,可以获得的信息包括电子邮件、IP、电话号码、照片。账户必须在上周处于活动状态,否则我们将被拒绝……”帖子还显示,“bug”仅接受比特币、以太币等多种数字货币进行交易。据称,“bug”目前提供的所有访问权限都是从美国以外的警方和政府电子邮件账户中窃取的,其中包括印度的一个警察局,阿拉伯联合酋长国的一个政府部门,巴西教育秘书处和沙特阿拉伯教育部。
网络安全调查专家艾莉森·尼克松(Allison Nixon)说,来自未成年人的威胁应该得到计算机安全行业和执法部门的重视。“我们现在正在目睹他们向有组织犯罪的转变,以及随之而来的现实世界的暴力和性虐待。”尼克松补充说,青少年黑客正在造成严重的伤害,“我们需要开始像对待成年人一样对待他们。”
“我知道紧急数据请求每天都被应用于真正威胁生命的紧急情况。而这种机制被滥用,对未成年人进行性剥削,这是很可悲的。”脸书前首席安全官、目前担任顾问的亚历克斯·斯塔莫斯(Alex Stamos)如此说道。
据彭博社称,熟悉此类犯罪的十几位人士认为,伪造紧急数据请求的问题正促使公司思考新的方法来验证法律请求的合法性。
Meta公司发言人安迪·斯通(Andy Stone)在一份声明中称,他们的员工会审查每一个数据请求,并使用先进的系统和流程以验证其合法性并检测滥用行为,“我们阻止已知的受损账户提出请求,并与执法部门合作,对涉及疑似欺诈性请求的事件作出回应”。同样,Snap发言人雷切尔·拉库森(Rachel Racusen)表示,公司会仔细审查从执法机构收到的每一份请求,“以确保其有效性,并有多种防范措施来发现欺诈性请求”。谷歌在2021年查出了一个虚假的数据请求,他们通知了执法部门并积极与执法部门以及业内其他机构合作。
但实际上,尽管多家公司都声称会仔细审查数据请求,但审查的有效性仍然受到怀疑。
根据克雷布斯的调查,全世界有数万个不同的执法机构,从小型警察部门到联邦机构,光在美国就有约1.8万个。黑客想要成功拿到数据,只需要非法访问其中的一个就能达到目的。而且,不同的司法管辖区有不同的关于请求和发布用户数据的法律,这让大型公司很难便捷地验证数据请求的真实性,尤其是在“紧急”的情况下。
“没有一个集中的系统来提交这些东西。”一家网络安全公司的董事贾里德·德·耶吉亚(Jared Der-Yeghiayan)说,“每个机构处理它们的方式都不同。”
想要破坏世界各地执法部门的电子邮件域名并不困难。据彭博社报道,在暗网里,以10美元到50美元不等的价格就能买到被破坏的执法机构的电子邮件账户。黑客们发在论坛中的售卖帖子也可窥知一二。
克雷布斯在文章中写道:“欺诈性数据请求的现状说明了仅仅依靠电子邮件来处理关于高度敏感用户数据的法律请求的危险性。”
加州大学伯克利分校的安全专家兼讲师尼古拉斯·韦弗(Nicholas Weaver)表示,打击欺诈性数据请求的一大挑战是,从根本上说,没有全球在线身份的概念。“清理它的唯一方法是让联邦调查局作为所有州和地方执法部门的唯一身份提供者,但即使这样也不一定有效,因为联邦调查局如何实时审查某些请求是否真的来自某个警察局?”
斯塔莫斯给出的建议是,美国警方应当加入多重身份验证环节,以及更好的用户行为分析来防止账户泄露,而科技公司应该在沟通过程中设立“回拨确认”机制,并推动执法部门使用他们的专用门户网站,通过这种渠道,他们可以更好地检测账户情况。
而针对数据请求文件中的法官签名,2021年7月,一个由美国两党组成的参议员小组提出的新立法或许能有所帮助。法案要求美国各级法院在授权监视、占领域名和删除在线内容的命令中使用数字签名,并要求为法院提供更多资金,以采用符合美国国家标准和技术研究所制定标准的广泛可用的数字签名技术。
克雷布斯的报道发出后,他也收到了来自上述法案的起草者之一、俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)的意见。怀登说:“最近的新闻报道显示,美国人的安全和国家安全受到了巨大威胁。我尤其感到不安的是,伪造的紧急请求可能来自受到损害的执法机构,然后被用来针对弱势的个人。”怀登称正在要求科技公司和多个联邦机构提供更多有关黑客如何滥用紧急数据请求的信息,“当有人的安全受到威胁时,没有人希望科技公司拒绝合法的紧急请求,但目前的系统有明显的弱点,需要加以解决”。