被假警調(diào)走的用戶(hù)敏感數(shù)據(jù)

黃莎

多名執(zhí)法部門(mén)官員及互聯(lián)網(wǎng)業(yè)內(nèi)人士透露，假借執(zhí)法機(jī)構(gòu)身份索要用戶(hù)信息的套路近幾個(gè)月來(lái)在美國(guó)頻發(fā)，除了Disocord，蘋(píng)果、谷歌和推特等知名互聯(lián)網(wǎng)公司均上當(dāng)受騙

今年年初，俘獲Z世代的社交媒體平臺(tái)Discord收到了一封“緊急情況用戶(hù)數(shù)據(jù)征調(diào)申請(qǐng)”的郵件，郵件顯示來(lái)自一個(gè)執(zhí)法機(jī)構(gòu)，對(duì)方所要調(diào)取的數(shù)據(jù)，關(guān)于一名來(lái)自美國(guó)印第安納州的18歲少年。

郵件要求Discord提供這名少年使用的電話(huà)號(hào)碼所關(guān)聯(lián)賬戶(hù)的互聯(lián)網(wǎng)地址歷史記錄。Discord同意了，并很快將對(duì)方所需的信息發(fā)了過(guò)去。

“我們通過(guò)檢查郵件是否有真實(shí)的來(lái)源，以驗(yàn)證這些請(qǐng)求。”Discord在一份聲明中說(shuō)，“雖然我們的驗(yàn)證過(guò)程確認(rèn)了執(zhí)法機(jī)構(gòu)的賬戶(hù)本身是合法的，但我們后來(lái)了解到，它已經(jīng)被惡意破壞了。此后，我們對(duì)這一非法活動(dòng)進(jìn)行了調(diào)查，并向執(zhí)法部門(mén)通報(bào)了被泄露的電子郵件賬戶(hù)。”而像這名少年一樣數(shù)據(jù)被泄露的受害者們，迎來(lái)了無(wú)止盡的騷擾、勒索，甚至是性剝削。

據(jù)彭博社4月27日?qǐng)?bào)道，多名執(zhí)法部門(mén)官員及互聯(lián)網(wǎng)業(yè)內(nèi)人士透露，假借執(zhí)法機(jī)構(gòu)身份索要用戶(hù)信息的套路近幾個(gè)月來(lái)在美國(guó)頻發(fā)，除了Disocord，蘋(píng)果、谷歌和推特等知名互聯(lián)網(wǎng)公司均上當(dāng)受騙。由于警方在執(zhí)法調(diào)查過(guò)程中經(jīng)常需要平臺(tái)提供用戶(hù)信息，因此在多數(shù)平臺(tái)看來(lái)，征調(diào)用戶(hù)數(shù)據(jù)是合法的，而且事后很難說(shuō)清楚他們何時(shí)被騙以及向黑客們提供了多少用戶(hù)數(shù)據(jù)。對(duì)于這種最新網(wǎng)絡(luò)犯罪套路，美國(guó)執(zhí)法部門(mén)和各科技公司已經(jīng)展開(kāi)調(diào)查。

在美國(guó)，當(dāng)聯(lián)邦、州或地方執(zhí)法機(jī)構(gòu)希望獲得某人的社交媒體賬戶(hù)信息，或特定手機(jī)賬號(hào)使用過(guò)的互聯(lián)網(wǎng)地址信息時(shí)，他們必須提交一份有法官簽署的搜查令或傳票。

實(shí)際上，所有為大量用戶(hù)提供在線(xiàn)服務(wù)的大型科技公司都有專(zhuān)門(mén)的部門(mén)定期審查和處理此類(lèi)請(qǐng)求，只要對(duì)方提供了適當(dāng)?shù)奈募?，而且?qǐng)求“似乎”來(lái)自一個(gè)與實(shí)際警察局域名相連接的電子郵件地址，這些請(qǐng)求通常都會(huì)獲得批準(zhǔn)。

2022年3月29日，美國(guó)調(diào)查記者布萊恩·克雷布斯（Brian Krebs）在他的個(gè)人博客發(fā)布了一篇詳盡的調(diào)查報(bào)告，指出黑客們正通過(guò)偽造“緊急情況用戶(hù)數(shù)據(jù)征調(diào)申請(qǐng)”從互聯(lián)網(wǎng)服務(wù)提供商、電話(huà)公司和社交媒體公司獲取敏感的客戶(hù)數(shù)據(jù)?？死撞妓乖?jīng)在《華盛頓郵報(bào)》當(dāng)了15年的記者，以報(bào)道網(wǎng)絡(luò)犯罪而出名。

“緊急情況用戶(hù)數(shù)據(jù)征調(diào)申請(qǐng)”，指的是在某些情況下，涉及綁架、自殺、謀殺等迫在眉睫的傷害或死亡的案件，執(zhí)法機(jī)構(gòu)可能會(huì)提出緊急數(shù)據(jù)請(qǐng)求。緊急請(qǐng)求通常不要求請(qǐng)求者提供任何法院批準(zhǔn)的文件，這在很大程度上繞過(guò)了任何官方審查，并極大地降低了偽造的難度。嚴(yán)格來(lái)說(shuō)，因?yàn)檫@種申請(qǐng)不具備實(shí)際法律效力，各科技公司其實(shí)可以不予理會(huì)，但多數(shù)企業(yè)出于對(duì)官方的信任及合作誠(chéng)意，往往會(huì)積極配合。

美國(guó)司法部前檢察官馬克·拉施 （ Mark Rasch ） 說(shuō)：“大多數(shù)互聯(lián)網(wǎng)服務(wù)提供商或科技公司都沒(méi)有建立真正的機(jī)制，來(lái)驗(yàn)證搜查令或傳票的有效性。因此，只要看起來(lái)正確，他們就會(huì)遵守?！?/p>

據(jù)執(zhí)法人員介紹，黑客們攻擊的具體方法各不相同，但往往遵循一個(gè)一般模式。首先，黑客會(huì)通過(guò)網(wǎng)絡(luò)手段攻破解執(zhí)法機(jī)構(gòu)的電子郵件系統(tǒng)，并偽造“緊急情況用戶(hù)數(shù)據(jù)征調(diào)申請(qǐng)”等官方函件，再將偽造文件出示給社交媒體公司，要求后者透露特定的用戶(hù)信息，否則“無(wú)辜的人可能會(huì)遭受巨大的痛苦或死亡”。各公司提供的數(shù)據(jù)各不相同，但通常包括用戶(hù)姓名、IP地址、電子郵件地址和家庭地址。

讓這些公司感到頭疼的是，黑客們偽造的申請(qǐng)與真實(shí)的申請(qǐng)幾乎無(wú)異。黑客既然已經(jīng)入侵了執(zhí)法機(jī)構(gòu)的電子郵件系統(tǒng)，他們也能在過(guò)往的記錄里找到合法的“緊急情況用戶(hù)數(shù)據(jù)征調(diào)申請(qǐng)”文件，并將其作為模板。有些郵件中的文件還偽造了簽名，簽名可能來(lái)自真實(shí)的執(zhí)法官員，也可能是虛構(gòu)的名字。在黑市上，這種假簽名甚至最低只賣(mài)10美元。

蘋(píng)果公司和臉書(shū)所屬的社交網(wǎng)絡(luò)公司Meta曾公布他們關(guān)于緊急數(shù)據(jù)請(qǐng)求的數(shù)據(jù)。公開(kāi)資料顯示，從2020年7月到12月，蘋(píng)果公司收到了來(lái)自29個(gè)國(guó)家的1162份緊急請(qǐng)求，并對(duì)其中93%的請(qǐng)求提供了數(shù)據(jù)。 從2021年1月到6月，Meta公司在全球范圍內(nèi)收到了21700份緊急請(qǐng)求，并配合滿(mǎn)足了其中77%的請(qǐng)求。

蘋(píng)果公司回應(yīng)媒體報(bào)道時(shí)援引了公司面對(duì)執(zhí)法機(jī)構(gòu)請(qǐng)求的指南，其中僅表示“蘋(píng)果可能會(huì)聯(lián)系提交數(shù)據(jù)請(qǐng)求的政府機(jī)構(gòu)或執(zhí)法部門(mén)的上級(jí)監(jiān)管，要求確認(rèn)緊急請(qǐng)求的合法性”。Meta在其網(wǎng)站上寫(xiě)道：“在緊急情況下，執(zhí)法部門(mén)可能會(huì)在沒(méi)有法律程序的情況下提交請(qǐng)求。根據(jù)情況，如果我們有充分的理由相信此事涉及迫在眉睫的嚴(yán)重人身傷害或死亡風(fēng)險(xiǎn)，我們可以自愿向執(zhí)法部門(mén)披露信息?！?/p>

對(duì)于普通用戶(hù)而言，一旦信息被平臺(tái)泄露，很難有招架之力，除非從一開(kāi)始就不使用任何社交媒體平臺(tái)。執(zhí)法部門(mén)和調(diào)查人員認(rèn)為，這種獲取個(gè)人身份信息的最新犯罪手段，不僅可以用來(lái)獲取非法經(jīng)濟(jì)利益，還可以用來(lái)勒索和騷擾無(wú)辜的受害者。

黑客們掌握的數(shù)據(jù)，足以讓他們輕松繞過(guò)用戶(hù)的賬戶(hù)安全設(shè)置，入侵受害者賬戶(hù)，甚至有針對(duì)性地與女性和未成年人交朋友，然后鼓勵(lì)或威脅他們分享性愛(ài)照片、視頻。

如果受害者不遵守這些要求，黑客就會(huì)使用多種騷擾手段進(jìn)行報(bào)復(fù)。一種報(bào)復(fù)手段是“報(bào)假警”，即捏造殺人放火、炸彈威脅一類(lèi)嚴(yán)峻的警情，向當(dāng)?shù)?11調(diào)度員發(fā)出虛假威脅，以便執(zhí)法部門(mén)對(duì)目標(biāo)地址做出回應(yīng)。據(jù)執(zhí)法人員介紹，地址可能是家庭住址也可能是學(xué)校。這種報(bào)復(fù)手段極其惡劣，甚至可能讓受害者的性命受到威脅?！都~約時(shí)報(bào)》舉例稱(chēng)，2020年4月，田納西州一名60歲的男子因拒絕出售自己名為“田納西”的推特賬號(hào)而遭到黑客報(bào)復(fù)，后者報(bào)警謊稱(chēng)他住所內(nèi)有人被謀殺。而當(dāng)警方持槍登門(mén)調(diào)查時(shí)，受害男子因受驚而突發(fā)心臟病，不幸離世。

另一種報(bào)復(fù)方法是將受害者及其家人的詳細(xì)個(gè)人信息發(fā)到“人肉搜索”網(wǎng)站，包括電話(huà)號(hào)碼和地址，這本質(zhì)上是一個(gè)公開(kāi)的邀請(qǐng)，邀請(qǐng)網(wǎng)站上的其他人去騷擾受害者。

如果受害者提供了不雅照片或視頻，犯罪者又會(huì)繼續(xù)威脅，稱(chēng)如果不遵守要求，就將這些色情材料發(fā)給他們的朋友、家人和學(xué)校的管理人員。執(zhí)法官員看到的在線(xiàn)聊天記錄顯示，在極端情況下，受害者被迫將犯罪者的名字刻在自己的皮膚上，并分享照片。

目前還不清楚這些欺詐性數(shù)據(jù)請(qǐng)求被用來(lái)性勒索未成年人的頻率如何，執(zhí)法部門(mén)和技術(shù)公司仍在努力評(píng)估這一問(wèn)題。由于這些請(qǐng)求看起來(lái)似乎來(lái)自合法的執(zhí)法機(jī)構(gòu)，公司很難知道他們有多少次被騙從而提供了用戶(hù)數(shù)據(jù)。

據(jù)彭博社報(bào)道，多家科技公司被偽造的申請(qǐng)欺騙發(fā)送數(shù)據(jù)，早在2021年1月就開(kāi)始了，但執(zhí)法官員和調(diào)查人員也表示，這種方法似乎在最近幾個(gè)月變得更加普遍。

克雷布斯還采訪(fǎng)了一個(gè)化名為KT的老牌黑客，KT稱(chēng)黑客們使用虛假的緊急數(shù)據(jù)請(qǐng)求來(lái)跟蹤、攻擊、騷擾和公開(kāi)羞辱他人變得越來(lái)越普遍。“有正當(dāng)理由相信某人有生命危險(xiǎn)的恐怖主義威脅通常是首選?！盞T說(shuō)。KT還分享了最近幾個(gè)黑客吹噓用這種方法獲得成功的例子，向Discord發(fā)送的針對(duì)印第安納州的18歲少年的案例便是其中之一。Discord之后在給彭博社的一份聲明中證實(shí)，他們確實(shí)滿(mǎn)足了這個(gè)偽造的法律請(qǐng)求。

此類(lèi)案件的司法實(shí)踐也具有挑戰(zhàn)性，因?yàn)樵S多犯罪者在海外，且網(wǎng)絡(luò)安全研究人員懷疑，一些發(fā)送偽造數(shù)據(jù)請(qǐng)求的黑客是位于英國(guó)和美國(guó)的未成年人，其中一名未成年人被認(rèn)為是網(wǎng)絡(luò)犯罪集團(tuán)Lapsus$的幕后策劃者。該集團(tuán)曾入侵微軟公司、三星電子公司和英偉達(dá)公司等。據(jù)英國(guó)廣播公司（BBC）報(bào)道，今年3月，倫敦市警察局逮捕了與Lapsus$黑客組織有關(guān)的7人，年齡在16歲至21歲，多數(shù)為未成年人，目前調(diào)查仍在進(jìn)行中。

網(wǎng)絡(luò)犯罪論壇里留有不少年輕黑客們犯罪的痕跡。我們可以看到，2021年4月5日發(fā)送的一條帖子，其標(biāo)題為“逮捕令/傳票服務(wù)（從任何服務(wù)機(jī)構(gòu)獲取執(zhí)法數(shù)據(jù)）”，帖子內(nèi)容為“服務(wù)（包括）蘋(píng)果、Snapchat、谷歌（更貴）、不做 Discord，基本上是任何網(wǎng)站”，并附上“價(jià)格：每個(gè)請(qǐng)求100到250美元”。

而在今年的3月30日，一個(gè)昵稱(chēng)為“bug”的用戶(hù)在另一個(gè)論壇里出售政府和警方電子郵件賬戶(hù)的訪(fǎng)問(wèn)權(quán)限，稱(chēng)只要目標(biāo)賬戶(hù)最近處于活動(dòng)狀態(tài)，他就可以隨意受雇對(duì)目標(biāo)執(zhí)行虛假的緊急數(shù)據(jù)請(qǐng)求?！拔艺跒?snapchat、twitter、ig （Instagram）等發(fā)送緊急數(shù)據(jù)請(qǐng)求，可以獲得的信息包括電子郵件、IP、電話(huà)號(hào)碼、照片。賬戶(hù)必須在上周處于活動(dòng)狀態(tài)，否則我們將被拒絕……”帖子還顯示，“bug”僅接受比特幣、以太幣等多種數(shù)字貨幣進(jìn)行交易。據(jù)稱(chēng)，“bug”目前提供的所有訪(fǎng)問(wèn)權(quán)限都是從美國(guó)以外的警方和政府電子郵件賬戶(hù)中竊取的，其中包括印度的一個(gè)警察局，阿拉伯聯(lián)合酋長(zhǎng)國(guó)的一個(gè)政府部門(mén)，巴西教育秘書(shū)處和沙特阿拉伯教育部。

網(wǎng)絡(luò)安全調(diào)查專(zhuān)家艾莉森·尼克松（Allison Nixon）說(shuō)，來(lái)自未成年人的威脅應(yīng)該得到計(jì)算機(jī)安全行業(yè)和執(zhí)法部門(mén)的重視?！拔覀儸F(xiàn)在正在目睹他們向有組織犯罪的轉(zhuǎn)變，以及隨之而來(lái)的現(xiàn)實(shí)世界的暴力和性虐待?！蹦峥怂裳a(bǔ)充說(shuō)，青少年黑客正在造成嚴(yán)重的傷害，“我們需要開(kāi)始像對(duì)待成年人一樣對(duì)待他們?！?/p>

“我知道緊急數(shù)據(jù)請(qǐng)求每天都被應(yīng)用于真正威脅生命的緊急情況。而這種機(jī)制被濫用，對(duì)未成年人進(jìn)行性剝削，這是很可悲的?！蹦槙?shū)前首席安全官、目前擔(dān)任顧問(wèn)的亞歷克斯·斯塔莫斯（Alex Stamos）如此說(shuō)道。

據(jù)彭博社稱(chēng)，熟悉此類(lèi)犯罪的十幾位人士認(rèn)為，偽造緊急數(shù)據(jù)請(qǐng)求的問(wèn)題正促使公司思考新的方法來(lái)驗(yàn)證法律請(qǐng)求的合法性。

Meta公司發(fā)言人安迪·斯通（Andy Stone）在一份聲明中稱(chēng)，他們的員工會(huì)審查每一個(gè)數(shù)據(jù)請(qǐng)求，并使用先進(jìn)的系統(tǒng)和流程以驗(yàn)證其合法性并檢測(cè)濫用行為，“我們阻止已知的受損賬戶(hù)提出請(qǐng)求，并與執(zhí)法部門(mén)合作，對(duì)涉及疑似欺詐性請(qǐng)求的事件作出回應(yīng)”。同樣，Snap發(fā)言人雷切爾·拉庫(kù)森（Rachel Racusen）表示，公司會(huì)仔細(xì)審查從執(zhí)法機(jī)構(gòu)收到的每一份請(qǐng)求，“以確保其有效性，并有多種防范措施來(lái)發(fā)現(xiàn)欺詐性請(qǐng)求”。谷歌在2021年查出了一個(gè)虛假的數(shù)據(jù)請(qǐng)求，他們通知了執(zhí)法部門(mén)并積極與執(zhí)法部門(mén)以及業(yè)內(nèi)其他機(jī)構(gòu)合作。

但實(shí)際上，盡管多家公司都聲稱(chēng)會(huì)仔細(xì)審查數(shù)據(jù)請(qǐng)求，但審查的有效性仍然受到懷疑。

根據(jù)克雷布斯的調(diào)查，全世界有數(shù)萬(wàn)個(gè)不同的執(zhí)法機(jī)構(gòu)，從小型警察部門(mén)到聯(lián)邦機(jī)構(gòu)，光在美國(guó)就有約1.8萬(wàn)個(gè)。黑客想要成功拿到數(shù)據(jù)，只需要非法訪(fǎng)問(wèn)其中的一個(gè)就能達(dá)到目的。而且，不同的司法管轄區(qū)有不同的關(guān)于請(qǐng)求和發(fā)布用戶(hù)數(shù)據(jù)的法律，這讓大型公司很難便捷地驗(yàn)證數(shù)據(jù)請(qǐng)求的真實(shí)性，尤其是在“緊急”的情況下。

“沒(méi)有一個(gè)集中的系統(tǒng)來(lái)提交這些東西?！币患揖W(wǎng)絡(luò)安全公司的董事賈里德·德·耶吉亞（Jared Der-Yeghiayan）說(shuō)，“每個(gè)機(jī)構(gòu)處理它們的方式都不同?！?/p>

想要破壞世界各地執(zhí)法部門(mén)的電子郵件域名并不困難。據(jù)彭博社報(bào)道，在暗網(wǎng)里，以10美元到50美元不等的價(jià)格就能買(mǎi)到被破壞的執(zhí)法機(jī)構(gòu)的電子郵件賬戶(hù)。黑客們發(fā)在論壇中的售賣(mài)帖子也可窺知一二。

克雷布斯在文章中寫(xiě)道：“欺詐性數(shù)據(jù)請(qǐng)求的現(xiàn)狀說(shuō)明了僅僅依靠電子郵件來(lái)處理關(guān)于高度敏感用戶(hù)數(shù)據(jù)的法律請(qǐng)求的危險(xiǎn)性。”

加州大學(xué)伯克利分校的安全專(zhuān)家兼講師尼古拉斯·韋弗（Nicholas Weaver）表示，打擊欺詐性數(shù)據(jù)請(qǐng)求的一大挑戰(zhàn)是，從根本上說(shuō)，沒(méi)有全球在線(xiàn)身份的概念?！扒謇硭奈ㄒ环椒ㄊ亲屄?lián)邦調(diào)查局作為所有州和地方執(zhí)法部門(mén)的唯一身份提供者，但即使這樣也不一定有效，因?yàn)槁?lián)邦調(diào)查局如何實(shí)時(shí)審查某些請(qǐng)求是否真的來(lái)自某個(gè)警察局？”

斯塔莫斯給出的建議是，美國(guó)警方應(yīng)當(dāng)加入多重身份驗(yàn)證環(huán)節(jié)，以及更好的用戶(hù)行為分析來(lái)防止賬戶(hù)泄露，而科技公司應(yīng)該在溝通過(guò)程中設(shè)立“回?fù)艽_認(rèn)”機(jī)制，并推動(dòng)執(zhí)法部門(mén)使用他們的專(zhuān)用門(mén)戶(hù)網(wǎng)站，通過(guò)這種渠道，他們可以更好地檢測(cè)賬戶(hù)情況。

而針對(duì)數(shù)據(jù)請(qǐng)求文件中的法官簽名，2021年7月，一個(gè)由美國(guó)兩黨組成的參議員小組提出的新立法或許能有所幫助。法案要求美國(guó)各級(jí)法院在授權(quán)監(jiān)視、占領(lǐng)域名和刪除在線(xiàn)內(nèi)容的命令中使用數(shù)字簽名，并要求為法院提供更多資金，以采用符合美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所制定標(biāo)準(zhǔn)的廣泛可用的數(shù)字簽名技術(shù)。

克雷布斯的報(bào)道發(fā)出后，他也收到了來(lái)自上述法案的起草者之一、俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）的意見(jiàn)。懷登說(shuō)：“最近的新聞報(bào)道顯示，美國(guó)人的安全和國(guó)家安全受到了巨大威脅。我尤其感到不安的是，偽造的緊急請(qǐng)求可能來(lái)自受到損害的執(zhí)法機(jī)構(gòu)，然后被用來(lái)針對(duì)弱勢(shì)的個(gè)人?！睉训欠Q(chēng)正在要求科技公司和多個(gè)聯(lián)邦機(jī)構(gòu)提供更多有關(guān)黑客如何濫用緊急數(shù)據(jù)請(qǐng)求的信息，“當(dāng)有人的安全受到威脅時(shí)，沒(méi)有人希望科技公司拒絕合法的緊急請(qǐng)求，但目前的系統(tǒng)有明顯的弱點(diǎn)，需要加以解決”。