当地时间周三,彭博社爆出消息,2021年年中,Meta和苹果曾被黑客骗取用户数据,包括家庭住址、电话号码以及IP地址等信息。
Meta发言人安迪·斯通(Andy Stone)表示:“我们审查了每一个数据请求,并使用先进的系统和流程来验证执法请求的真实性。”此次同样被骗的社交媒体平台Discord也称,他们曾对请求进行过核查,没想到真邮箱背后竟是假人。
据悉,巨头们被骗,是因为黑客披上了执法人员的马甲。黑客先是攻击执法部门的电子邮件,向苹果、Meta、Snap等公司发出紧急数据请求,再配上让人无法拒绝的“等不了法官的命令,因为遇到了生死攸关的紧急问题”话术,顺利将用户数据骗到手。
通常来说,执法部门向科技公司索要数据用于刑事调查是常规操作,这需要法院的传票和搜查令,但涉及到严重人身伤害或死亡的紧急情况,则可以豁免。“紧急情况”由此成了黑客攻破科技巨头的一大漏洞。
值得一提的是,黑客入侵执法部门的邮箱已有成熟的地下链条,要解决并非易事。网络安全公司Resecurity的CEO Gene Yoo表示:“在暗网商店里,执法机构的电子邮件账户可以跟附带的cookies、元数据一起出售,售价从10美元到50美元不等。”如果这部分问题无法解决,苹果等公司再如何努力,面对黑客的攻击,都可能防不胜防。
目前,苹果和Meta已经向有关部门报告了该情况。
令人大跌眼镜的是,调查发现,攻破苹果、Meta的黑客组织Lapsus$,7名成员都是未成年人,头目是英国一名16岁的少年,代号White,患有自闭症。据BBC,这名少年已经通过黑客行动积累了1400万美元财产。
图源:十轮网
苹果、Meta之前,该黑客组织还攻击过微软、三星、英伟达,并经常在Telegram上求购一些大公司内部系统的访问权,有时还会向粉丝发起投票,征询下一次该攻击哪家公司。因为高调且屡屡得逞,Lapsus$名声大噪。截止到3月30日,Lapsus$的Telegram订阅量接近5万。
据报道,该组织头目White近期于英国牛津被捕。White父亲接受采访时说:“直到最近我才听说这件事,他从没提过,我一直以为他经常摆弄电脑是在玩游戏。”
一
作为掌握海量用户数据的科技公司,苹果和Meta内部有一套应对紧急数据请求的成熟方法。
苹果表示,在接到紧急数据请求后,他们可能会联系提出请求的执法人员,要求他们证明这个请求是合法的,“前提是它是从请求机构的官方电子邮件发送的。”
Meta也在其官网写道:“根据情况,我们可以自愿向执法部门披露信息,如果我们有善意的理由相信该事项涉及严重人身伤害或死亡的紧迫风险的话。”
美国国土安全部前网络项目负责人Jared Der-Yeghiayan说:“Meta和Snap等公司运营着自己的门户网站,供执法部门发送法律请求,另外,电子邮箱也能24小时接收请求。”
“大多情况下可以绕过任何正式审查,也不需要提供任何法院证明文件。而且,全世界有数以万计的警察管辖区,其中仅在美国就有大约18000个,黑客成功所需要的只是非法访问一个警察电子邮件帐户。”网络安全专家克雷布斯(Brian Krebs)表示。
去年下半年,苹果共收到来自29个国家的1162个紧急请求,满足了其中的93%。去年上半年,Meta总共收到21000份紧急请求,回复了其中的77%。
黑客组织Lapsus$此次伪造的紧急请求看起来还相当合规。据彭博社获悉,黑客通过破坏执法部门的电子邮件系统,可能找到了一些合法的请求文件,并照着样式伪造了假文件和假签名。
规范的文件、从官方邮箱发送、配上紧急的口吻,这次苹果和Meta就是这么中招的,据目前外媒报道情况,尚不清楚他们各泄露了多少数据。
网络安全调查公司Unit 221B的首席研究官艾莉森·尼克松(Allison Nixon)说:“目前很难找到从被黑执法电子邮件系统发送的伪造法律请求的潜在解决方案。”
针对此事,Meta回应:“目前,我们已经封锁了已知的被盗帐户,阻止他们提出要求,并与执法单位合作,应对涉及诈欺的事件。”据Krebs on Security报道,另一家受到波及的公司Snap的一位发言人表示,该公司已经采取了防范措施,加强侦查来自执法部门的欺诈请求。
面对黑客攻击,巨头们显得也有些无可奈何。
二
去年12月,Lapsus$因攻击巴西卫生部的计算机系统被注意到,当时他们窃取了包括巴西公民的疫苗接种信息在内的50TB的数据。很快,他们又攻击了葡萄牙的一家媒体,成了葡萄牙历史上最大的网络安全事件之一。
名声大噪的Lapsus$,通过Telegram发布声明和招募同伴,时常发布预告称将“搞个大新闻”,甚至把下一次要攻击哪家公司挂出来让粉丝投票,沃达丰(Vodafone)、T-Mobile等公司赫然在列。
但关于这个组织,外界了解的不多。据Wired报道,这是一个松散的团队。安全软件公司Emsisoft威胁情报分析师Brett Callow表示:“他们的行为看起来不像经验丰富的网络犯罪分子。”还有人推测,该组织总部设在南美,因为他们最初的几个活动是针对巴西的。
他们通常会通过招聘等方式从员工那拿到一些公司的访问凭证,通过远程控制来获取数据或源代码,然后在Telegram上发布消息、威胁勒索公司。
在White被闹翻的同行曝光出姓名、地址和社交媒体照片,并透露其净资产超过300比特币(近1400万美元)后,彭博社循着这些线索找到White的家,距牛津大学5英里的一栋朴素的房子,记者通过门铃对讲系统与他的母亲聊了10分钟左右。在谈话中,他母亲表示,并不清楚外界对她儿子的指控,但她提到,由于信息被泄露,他们一家遭受了很多骚扰。
作为Lapsus$的主谋,White是一名16岁少年,因自闭症在英国牛津上特殊学校。有意思的是,在拉丁语中,Lapsus指的是说话和写作时的无心之失。
据彭博社报道,网络安全研究人员已经跟踪White将近一年,且定期向执法部门通报犯罪情况。“去年年中,在他被人肉之前,我们就确认了他的身份。”尼克松说。
被抓捕前不久,Lapsus$还在Telegram上预告:“我们可能会歇一段时间,可能会放假到2022年3月30日,感谢理解,我们会尽快拿出点猛料。”
三
尽管Lapsus$成立时间不长,但做的事却不少。英伟达是他们第一家成功攻击的科技巨头。
2月23日,英伟达承认遭到了黑客攻击,据悉,这次攻击让英伟达的邮件系统和开发工具瘫痪了将近两天。
Lapsus$颇为自豪地认领了他们干的事儿,声称已拿到英伟达1TB的重要数据,以及7.1万名英伟达员工的电子邮箱和密码。
Lapsus$揣着数据,一会儿要求英伟达“删除所有30系显卡驱动中对挖矿功能的限制”,一会儿让英伟达“开源显卡驱动”,一会儿又表示,他们会把这些信息打包卖出去,价格是100万美元。Lapsus$给英伟达下的最后通牒是,让其开源Windows、MacOS、Linux系统的GPU驱动。
英伟达尝试过远程加密数据,切断Lapsus$内网等自救方式,只是最后因为Lapsus$有备份,并没成功。
几天后,Lapsus$转移阵地,跟粉丝说:“别看英伟达了,进来看三星”。他们黑了三星的源代码,甚至连和三星合作的高通都没能躲过去。
三星之后,Lapsus$又攻击了微软,游戏厂商Ubisoft,在线商务平台Mercado Libre、科技公司Okta等。
事实上,科技巨头和黑客之间的关系相当微妙:科技巨头一边要防止黑客的偷袭,一边又希望他们能为自己所用。
值得一提的是,黑客也有作恶与不作恶之分。2020年,有黑客因发现iPhone漏洞被奖励7.5万美金,这类属于保护网络安全的白帽黑客,反之则是黑帽黑客。
白帽黑客是科技公司的重要盟友。腾讯安全联合实验室的一些员工得过相当于白帽黑客领域的奥斯卡奖提名(Pwine Awards),百度安全总经理马杰还把世界著名黑客大会DEF CON引进中国。
通常,黑帽黑客会比白帽黑客收入更高。据第一财经报道,创造出“熊猫烧香”病毒的三个黑客,三个月收入三千万,而BAT三家互联网公司的安全研究人员年薪在百万左右。这也是许多黑帽黑客铤而走险的原因之一。
站在巨头的角度,将他们招入麾下是更理想的解决方式,但对于一群未成年、且难以驾驭的孩子,苹果和Meta们还能做些什么?