1. 首頁 > 科技 > >

黑客|黑客偽造“政府傳票”竊取科技巨頭敏感數據,蘋果、臉書等均受影響

蘋果fbi網絡安全黑客警察

黑客|黑客偽造“政府傳票”竊取科技巨頭敏感數據,蘋果、臉書等均受影響

文章圖片



  • 安全博客KrebsOnSecurity披露了一種偽裝政府執法部門向互聯網公司套取用戶數據的攻擊手法 , 攻擊者竊取執法部門郵箱等官方賬號 , 向互聯網平臺發送“緊急數據申請” , 從而套取用戶敏感數據;
  • 最近興起的LAPSUS$數據勒索團伙正是利用這一手法為基礎 , 成功入侵了微軟、Okta、英偉達等知名企業內網竊取數據 , 蘋果、Meta等巨頭曾應黑客要求提供用戶數據;
  • 互聯網巨頭們向黑客提供的數據包括用戶的基本信息 , 如消費者的家庭住址、電話號碼、IP地址等 。
美國聯邦、州或地方執法部門要想獲得與某位公民有關的社交賬號、電話號碼等私人信息 , 必須首先申請法庭執行令或傳票 。 但在某些特殊情形下——比如面臨重大傷害或死亡時 , 執法或調查部門會動用所謂的“緊急數據申請”(EDR)權限 , 在未經官方審批、也不需要提供任何法庭批準文書 的情況下獲取所需數據與信息 。
正如前美國司法部檢察官馬克?拉什(Mark Rasch)所說 , “我們建立有一種緊急程序 , 網絡服務提供商可以據此允許警察對數據進行緊急訪問 。 ”但他同時也指出了“緊急數據申請”的致命漏洞——“‘緊急數據申請’沒有一套有效的實用機制 , 供互聯網服務商或科技公司驗證法院搜查令或傳票的合法性 。 只要申請看上去像真的 , 他們就會配合 。 ”
很顯然 , 一些網絡犯罪分子已意識到科技公司收到“緊急數據申請”后 , 并沒有快速便捷方法確認其合法性 。 所以他們找到了一種非常有效的方法 , 可以用來在未取得法庭授權的情況下從網絡服務商、電話公司以及社交媒體公司處“收割”敏感用戶數據 , 即通過非法侵入的警察部門郵件系統向科技公司發送虛假的“緊急數據申請” , 要求對用戶數據進行未獲得法庭授權的訪問 。 同時附上一份證明書 , 證明如果科技公司不能立即提供所申請的數據信息 , 無辜的普通人就很可能遭受巨大痛苦甚至死亡 。
幾乎所有擁有海量線上用戶的大型科技公司都設有專門部門負責審查和處理此類申請 。 事實上 , 只要提交了正式文件而且發出的網絡地址與現實中的警察部門相符 , 這些申請基本上都會得到批準 。
在這樣的背景下 , 凡收到“緊急數據申請”的公司都會發現自己只能在兩種不光彩的結果中二選一:一是忽略“緊急數據申請” , 但可能會因此造成傷亡事件;二是配合申請提供相應數據 , 但可能會有把客戶信息泄露給壞人的風險 。
虛假“傳票”攻擊越來越難以防范
年輕犯罪團伙冒充執法部門 , 以發送虛假法庭傳票的方式隨心所欲地獲取目標特許數據 , 這種現象目前越來越常見 。
數據勒索集團LAPSUS$的所作所為就是一個典型的例子 。 調查發現 , 該團伙已用這種方式對微軟、Okta、英偉達和沃達豐等全球知名企業進行過勒索 。
LAPSUS$團伙利用虛假“緊急數據申請”謀財的時間可追溯至其前身 , 一名14歲英國少年(網絡名為“White”或“Everlynn”)建立的“Recursion Team” 。 Recursion Team曾于2021年4月5日在網絡犯罪論壇上發出“廣告貼” , 稱可以獲得任何執法部門的數據并借此向蘋果、谷歌、Snapchat等大型科技公司發出虛假搜查令或傳票等服務 , “每次100至250美元 。 ”
此前 , 該團伙還在另外一個廣告貼中宣稱擁有從阿根廷政府所轄機構內發送電子郵件的能力 。

相關經驗推薦