被假警調走的用戶敏感數據

黃莎

多名執法部門官員及互聯網業內人士透露，假借執法機構身份索要用戶信息的套路近幾個月來在美國頻發，除了Disocord，蘋果、谷歌和推特等知名互聯網公司均上當受騙

今年年初，俘獲Z世代的社交媒體平臺Discord收到了一封“緊急情況用戶數據征調申請”的郵件，郵件顯示來自一個執法機構，對方所要調取的數據，關于一名來自美國印第安納州的18歲少年。

郵件要求Discord提供這名少年使用的電話號碼所關聯賬戶的互聯網地址歷史記錄。Discord同意了，并很快將對方所需的信息發了過去。

“我們通過檢查郵件是否有真實的來源，以驗證這些請求。”Discord在一份聲明中說，“雖然我們的驗證過程確認了執法機構的賬戶本身是合法的，但我們后來了解到，它已經被惡意破壞了。此后，我們對這一非法活動進行了調查，并向執法部門通報了被泄露的電子郵件賬戶。”而像這名少年一樣數據被泄露的受害者們，迎來了無止盡的騷擾、勒索，甚至是性剝削。

據彭博社4月27日報道，多名執法部門官員及互聯網業內人士透露，假借執法機構身份索要用戶信息的套路近幾個月來在美國頻發，除了Disocord，蘋果、谷歌和推特等知名互聯網公司均上當受騙。由于警方在執法調查過程中經常需要平臺提供用戶信息，因此在多數平臺看來，征調用戶數據是合法的，而且事后很難說清楚他們何時被騙以及向黑客們提供了多少用戶數據。對于這種最新網絡犯罪套路，美國執法部門和各科技公司已經展開調查。

在美國，當聯邦、州或地方執法機構希望獲得某人的社交媒體賬戶信息，或特定手機賬號使用過的互聯網地址信息時，他們必須提交一份有法官簽署的搜查令或傳票。

實際上，所有為大量用戶提供在線服務的大型科技公司都有專門的部門定期審查和處理此類請求，只要對方提供了適當的文件，而且請求“似乎”來自一個與實際警察局域名相連接的電子郵件地址，這些請求通常都會獲得批準。

2022年3月29日，美國調查記者布萊恩·克雷布斯（Brian Krebs）在他的個人博客發布了一篇詳盡的調查報告，指出黑客們正通過偽造“緊急情況用戶數據征調申請”從互聯網服務提供商、電話公司和社交媒體公司獲取敏感的客戶數據。克雷布斯曾經在《華盛頓郵報》當了15年的記者，以報道網絡犯罪而出名。

“緊急情況用戶數據征調申請”，指的是在某些情況下，涉及綁架、自殺、謀殺等迫在眉睫的傷害或死亡的案件，執法機構可能會提出緊急數據請求。緊急請求通常不要求請求者提供任何法院批準的文件，這在很大程度上繞過了任何官方審查，并極大地降低了偽造的難度。嚴格來說，因為這種申請不具備實際法律效力，各科技公司其實可以不予理會，但多數企業出于對官方的信任及合作誠意，往往會積極配合。

美國司法部前檢察官馬克·拉施 （ Mark Rasch ） 說：“大多數互聯網服務提供商或科技公司都沒有建立真正的機制，來驗證搜查令或傳票的有效性。因此，只要看起來正確，他們就會遵守。”

據執法人員介紹，黑客們攻擊的具體方法各不相同，但往往遵循一個一般模式。首先，黑客會通過網絡手段攻破解執法機構的電子郵件系統，并偽造“緊急情況用戶數據征調申請”等官方函件，再將偽造文件出示給社交媒體公司，要求后者透露特定的用戶信息，否則“無辜的人可能會遭受巨大的痛苦或死亡”。各公司提供的數據各不相同，但通常包括用戶姓名、IP地址、電子郵件地址和家庭地址。

讓這些公司感到頭疼的是，黑客們偽造的申請與真實的申請幾乎無異。黑客既然已經入侵了執法機構的電子郵件系統，他們也能在過往的記錄里找到合法的“緊急情況用戶數據征調申請”文件，并將其作為模板。有些郵件中的文件還偽造了簽名，簽名可能來自真實的執法官員，也可能是虛構的名字。在黑市上，這種假簽名甚至最低只賣10美元。

蘋果公司和臉書所屬的社交網絡公司Meta曾公布他們關于緊急數據請求的數據。公開資料顯示，從2020年7月到12月，蘋果公司收到了來自29個國家的1162份緊急請求，并對其中93%的請求提供了數據。 從2021年1月到6月，Meta公司在全球范圍內收到了21700份緊急請求，并配合滿足了其中77%的請求。

蘋果公司回應媒體報道時援引了公司面對執法機構請求的指南，其中僅表示“蘋果可能會聯系提交數據請求的政府機構或執法部門的上級監管，要求確認緊急請求的合法性”。Meta在其網站上寫道：“在緊急情況下，執法部門可能會在沒有法律程序的情況下提交請求。根據情況，如果我們有充分的理由相信此事涉及迫在眉睫的嚴重人身傷害或死亡風險，我們可以自愿向執法部門披露信息。”

對于普通用戶而言，一旦信息被平臺泄露，很難有招架之力，除非從一開始就不使用任何社交媒體平臺。執法部門和調查人員認為，這種獲取個人身份信息的最新犯罪手段，不僅可以用來獲取非法經濟利益，還可以用來勒索和騷擾無辜的受害者。

黑客們掌握的數據，足以讓他們輕松繞過用戶的賬戶安全設置，入侵受害者賬戶，甚至有針對性地與女性和未成年人交朋友，然后鼓勵或威脅他們分享性愛照片、視頻。

如果受害者不遵守這些要求，黑客就會使用多種騷擾手段進行報復。一種報復手段是“報假警”，即捏造殺人放火、炸彈威脅一類嚴峻的警情，向當地911調度員發出虛假威脅，以便執法部門對目標地址做出回應。據執法人員介紹，地址可能是家庭住址也可能是學校。這種報復手段極其惡劣，甚至可能讓受害者的性命受到威脅。《紐約時報》舉例稱，2020年4月，田納西州一名60歲的男子因拒絕出售自己名為“田納西”的推特賬號而遭到黑客報復，后者報警謊稱他住所內有人被謀殺。而當警方持槍登門調查時，受害男子因受驚而突發心臟病，不幸離世。

另一種報復方法是將受害者及其家人的詳細個人信息發到“人肉搜索”網站，包括電話號碼和地址，這本質上是一個公開的邀請，邀請網站上的其他人去騷擾受害者。

如果受害者提供了不雅照片或視頻，犯罪者又會繼續威脅，稱如果不遵守要求，就將這些色情材料發給他們的朋友、家人和學校的管理人員。執法官員看到的在線聊天記錄顯示，在極端情況下，受害者被迫將犯罪者的名字刻在自己的皮膚上，并分享照片。

目前還不清楚這些欺詐性數據請求被用來性勒索未成年人的頻率如何，執法部門和技術公司仍在努力評估這一問題。由于這些請求看起來似乎來自合法的執法機構，公司很難知道他們有多少次被騙從而提供了用戶數據。

據彭博社報道，多家科技公司被偽造的申請欺騙發送數據，早在2021年1月就開始了，但執法官員和調查人員也表示，這種方法似乎在最近幾個月變得更加普遍。

克雷布斯還采訪了一個化名為KT的老牌黑客，KT稱黑客們使用虛假的緊急數據請求來跟蹤、攻擊、騷擾和公開羞辱他人變得越來越普遍。“有正當理由相信某人有生命危險的恐怖主義威脅通常是首選。”KT說。KT還分享了最近幾個黑客吹噓用這種方法獲得成功的例子，向Discord發送的針對印第安納州的18歲少年的案例便是其中之一。Discord之后在給彭博社的一份聲明中證實，他們確實滿足了這個偽造的法律請求。

此類案件的司法實踐也具有挑戰性，因為許多犯罪者在海外，且網絡安全研究人員懷疑，一些發送偽造數據請求的黑客是位于英國和美國的未成年人，其中一名未成年人被認為是網絡犯罪集團Lapsus$的幕后策劃者。該集團曾入侵微軟公司、三星電子公司和英偉達公司等。據英國廣播公司（BBC）報道，今年3月，倫敦市警察局逮捕了與Lapsus$黑客組織有關的7人，年齡在16歲至21歲，多數為未成年人，目前調查仍在進行中。

網絡犯罪論壇里留有不少年輕黑客們犯罪的痕跡。我們可以看到，2021年4月5日發送的一條帖子，其標題為“逮捕令/傳票服務（從任何服務機構獲取執法數據）”，帖子內容為“服務（包括）蘋果、Snapchat、谷歌（更貴）、不做 Discord，基本上是任何網站”，并附上“價格：每個請求100到250美元”。

而在今年的3月30日，一個昵稱為“bug”的用戶在另一個論壇里出售政府和警方電子郵件賬戶的訪問權限，稱只要目標賬戶最近處于活動狀態，他就可以隨意受雇對目標執行虛假的緊急數據請求。“我正在為 snapchat、twitter、ig （Instagram）等發送緊急數據請求，可以獲得的信息包括電子郵件、IP、電話號碼、照片。賬戶必須在上周處于活動狀態，否則我們將被拒絕……”帖子還顯示，“bug”僅接受比特幣、以太幣等多種數字貨幣進行交易。據稱，“bug”目前提供的所有訪問權限都是從美國以外的警方和政府電子郵件賬戶中竊取的，其中包括印度的一個警察局，阿拉伯聯合酋長國的一個政府部門，巴西教育秘書處和沙特阿拉伯教育部。

網絡安全調查專家艾莉森·尼克松（Allison Nixon）說，來自未成年人的威脅應該得到計算機安全行業和執法部門的重視。“我們現在正在目睹他們向有組織犯罪的轉變，以及隨之而來的現實世界的暴力和性虐待。”尼克松補充說，青少年黑客正在造成嚴重的傷害，“我們需要開始像對待成年人一樣對待他們。”

“我知道緊急數據請求每天都被應用于真正威脅生命的緊急情況。而這種機制被濫用，對未成年人進行性剝削，這是很可悲的。”臉書前首席安全官、目前擔任顧問的亞歷克斯·斯塔莫斯（Alex Stamos）如此說道。

據彭博社稱，熟悉此類犯罪的十幾位人士認為，偽造緊急數據請求的問題正促使公司思考新的方法來驗證法律請求的合法性。

Meta公司發言人安迪·斯通（Andy Stone）在一份聲明中稱，他們的員工會審查每一個數據請求，并使用先進的系統和流程以驗證其合法性并檢測濫用行為，“我們阻止已知的受損賬戶提出請求，并與執法部門合作，對涉及疑似欺詐性請求的事件作出回應”。同樣，Snap發言人雷切爾·拉庫森（Rachel Racusen）表示，公司會仔細審查從執法機構收到的每一份請求，“以確保其有效性，并有多種防范措施來發現欺詐性請求”。谷歌在2021年查出了一個虛假的數據請求，他們通知了執法部門并積極與執法部門以及業內其他機構合作。

但實際上，盡管多家公司都聲稱會仔細審查數據請求，但審查的有效性仍然受到懷疑。

根據克雷布斯的調查，全世界有數萬個不同的執法機構，從小型警察部門到聯邦機構，光在美國就有約1.8萬個。黑客想要成功拿到數據，只需要非法訪問其中的一個就能達到目的。而且，不同的司法管轄區有不同的關于請求和發布用戶數據的法律，這讓大型公司很難便捷地驗證數據請求的真實性，尤其是在“緊急”的情況下。

“沒有一個集中的系統來提交這些東西。”一家網絡安全公司的董事賈里德·德·耶吉亞（Jared Der-Yeghiayan）說，“每個機構處理它們的方式都不同。”

想要破壞世界各地執法部門的電子郵件域名并不困難。據彭博社報道，在暗網里，以10美元到50美元不等的價格就能買到被破壞的執法機構的電子郵件賬戶。黑客們發在論壇中的售賣帖子也可窺知一二。

克雷布斯在文章中寫道：“欺詐性數據請求的現狀說明了僅僅依靠電子郵件來處理關于高度敏感用戶數據的法律請求的危險性。”

加州大學伯克利分校的安全專家兼講師尼古拉斯·韋弗（Nicholas Weaver）表示，打擊欺詐性數據請求的一大挑戰是，從根本上說，沒有全球在線身份的概念。“清理它的唯一方法是讓聯邦調查局作為所有州和地方執法部門的唯一身份提供者，但即使這樣也不一定有效，因為聯邦調查局如何實時審查某些請求是否真的來自某個警察局？”

斯塔莫斯給出的建議是，美國警方應當加入多重身份驗證環節，以及更好的用戶行為分析來防止賬戶泄露，而科技公司應該在溝通過程中設立“回撥確認”機制，并推動執法部門使用他們的專用門戶網站，通過這種渠道，他們可以更好地檢測賬戶情況。

而針對數據請求文件中的法官簽名，2021年7月，一個由美國兩黨組成的參議員小組提出的新立法或許能有所幫助。法案要求美國各級法院在授權監視、占領域名和刪除在線內容的命令中使用數字簽名，并要求為法院提供更多資金，以采用符合美國國家標準和技術研究所制定標準的廣泛可用的數字簽名技術。

克雷布斯的報道發出后，他也收到了來自上述法案的起草者之一、俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）的意見。懷登說：“最近的新聞報道顯示，美國人的安全和國家安全受到了巨大威脅。我尤其感到不安的是，偽造的緊急請求可能來自受到損害的執法機構，然后被用來針對弱勢的個人。”懷登稱正在要求科技公司和多個聯邦機構提供更多有關黑客如何濫用緊急數據請求的信息，“當有人的安全受到威脅時，沒有人希望科技公司拒絕合法的緊急請求，但目前的系統有明顯的弱點，需要加以解決”。