近日,苹果和Facebook的母公司Meta向伪装成执法人员的黑客提供其用户个人信息一事引发关注。有消息称,黑客通过入侵执法部门的邮件系统伪造紧急执法请求,要求科技公司提供大量用户信息,包括用户地址、电话号码、IP地址等,后将这些信息用于诈骗活动。目前尚未披露被泄露的用户个人信息数量。
据当地时间3月31日报道,有消息人士透露称,苹果和Meta曾在2021年年中收到来自“执法机构”的电子邮件,邮件内容中的“紧急数据请求”要求其提供用户个人信息,包括用户地址、电话号码、IP地址等。随即苹果和Meta按照邮件指示回应了该请求。
苹果和Meta未能料到的是,这些“执法机构”系黑客团队冒充,“紧急数据请求”也是在黑客攻击执法机构电子邮箱后发出的伪造邮件,目的是骗取用户个人信息后实施诈骗。有调查人员向媒体证实,目前已存在黑客利用这些用户个人信息绕过系统账户的安全设置,进而开展违法活动的情况。
为何苹果和Meta会交出用户个人信息?据悉,执法机构通常会要求社交媒体平台提供与刑事调查有关的个人信息,以便开展相关工作。提出这一要求必须持有由法官签署的搜查令或传票。不过,如遇十分紧急的危险状况,也可发出一种无需法官签署的“紧急请求”——在该事件中,黑客团队便是利用了这一规定。
Meta的发言人安迪·斯通(Andy Stone)就此发表声明称,Meta会使用先进的系统和程序验证执法人员的请求并检测滥用情况,审查每份数据请求的合法性。目前其已对信息泄露事件进行阻止,同时联合执法部门开展调查。
苹果曾制定一份针对美国政府及执法部门在向其寻求有关设备、产品和用户信息时需遵循的《指导方针》。《指导方针》显示,苹果接受从apple.com邮件地址获取的由各地执法机构官方邮箱发送来的用户数据请求。此外,苹果可能会联系提交数据请求的政府或执法机构主管,以确认其紧急请求合法。
在解释黑客是如何冒充执法人员并发送邮件时,知情人士透露,黑客通过入侵执法部门的电子邮件系统获得了正规的数据请求内容,并以此为模板伪造了文件——甚至其中还包括真实或虚构的执法人员的伪造签名,“伪造的请求看起来是合法的”。这意味着,苹果和Meta分辨“紧急请求”真假的难度很大。
“暗网的地下商店会出售执法机构的电子邮件账号,这些账户与其附加的cookies和元数据一起标价10美元至50美元。”网络安全公司Resecurity的首席执行官吉恩·尤(Gene Yoo)表示。这代表着获取各地执法部门电子邮件信息较为容易,为黑客“钻空子”提供了机会。
事实上,苹果和Meta并非首个遭遇黑客诈骗的公司。据报道,当地时间3月29日,黑客以类似手段伪造一份“紧急数据请求”,令社交媒体平台Discord提供用户信息。Discord对发送请求的源头进行了验证,在认为执法账号合法的情况下执行了相关要求。然而,后来Discord发现该账户早已被黑客恶意破坏。
谈及此类事件频发的根本原因,多位网络安全专家表示,这和目前缺乏一个统一的数据请求系统或渠道有关。世界各地执法机构众多,不同司法管辖区对用户数据请求和发布有不同的法律要求,要建立一个统一的请求渠道较为困难。
值得一提的是,苹果和Meta曾公布其回应紧急数据请求的次数。2020年7月至12月,苹果收到了来自29个国家的1162次紧急数据请求,其中有93%的请求得到了回应。Meta自2021年1月至6月在全球范围内收到了21700个紧急数据请求,其对其中77%作出了回应。
编译/综合:南都见习记者 樊文扬