【猎云网(微信号:ilieyun)】5月17日报道(编译:Mayfly)
一名黑客入侵了Securus的服务器,该公司具有为执法部门提供追踪全国几乎所有电话的能力,美国参议员鼓励联邦当局调查这起案件。黑客获取的数据包括数千名Securus客户的用户名和安全性较差的密码。
虽然目前尚不清楚这些客户中有多少人正在使用Securus的电话定位服务,但这一消息仍然令人难以置信,作为向执法机构提供监管权的公司,其安全防护竟然如此脆弱。
约翰霍普金斯大学的战略研究教授Thomas Rid通过在线采访告诉Motherboard:“从对抗情报机构的角度来看,位置聚合器是黑客最有可能攻击的目标之一。
上周,纽约时报报道,Securus从AT&T,Sprint,T-Mobile和Verizon等电信公司获得手机位置数据,然后将其提供给客户。该报告补充道,Securus获取数据的系统通常由营销商使用,但Securus向执法机构提供的电话追踪功能则几乎没有法律监督。根据法庭记录,在一起案件中,密西西比州一名前警长使用Securus服务跟踪其他执法官员的电话。
攻击Securus的黑客向Motherboard提供了几个内部公司文件。据称一个从“警察”数据库获取的电子表格包含了从2011年至今的2,800多个用户名、email地址、电话号码、哈希密码(hashed passwords)和安全问题。哈希(Hash)是对一段数据加密处理而形成的杂乱字符串,这意味着公司不需要自己存储密码。但哈希是使用安全系数很低的MD5算法创建的,这意味着攻击者在很多情况下可以破解用户的真实密码。事实上,一些密码似乎已被破解并包含在电子表格中。 目前还不清楚向Motherboard提供数据的黑客是否破解了所有密码,也不清楚Securus本身是如何存储这些密码的。
电子表格中的大多数用户来自美国政府机构,包括警局、县级或市级执法部门。受影响的城市包括明尼阿波利斯,凤凰城,印第安纳波利斯等等。这些数据还包括Securus员工以及使用个人电子邮件地址的用户,暂时不能确定他们是否隶属政府部门。
Motherboard通过使用Securus网站的忘记密码功能来验证数据。在输入垃圾邮件地址时,该网站显示输入错误。但是,使用黑客提供的用户名和电子邮件地址时,该网站将进入密码重置过程的下一阶段,由此可以确认这些用户名和密码的确来源于Securus的系统。
这些用户中有多少人可以使用Securus的手机定位服务并不清楚。但其他数据显示,许多用户可能在监狱工作:其中一些用户的角色被标记为“监狱管理员”、“监狱长”和“副监狱长”。在其网站上,Securus 将“定位服务”产品销售给监狱,以便工作人员掌握犯人在哪里打电话。
Securus网站表示:“即使在GPS关闭的情况下也能追踪移动设备,呼叫记录能提供呼叫始发和呼叫终止的地理位置数据。” 一些执法人员正在滥用此产品。
Electronic Frontier Foundation的律师Andrew Crocker在电话采访中告诉Motherboard:“Securus无需许可证即可进行定位追踪,并允许其用户在未经审查的情况下获取此服务。这是一个问题。如果一个系统不对使用监控权的用户进行设限,那么它讲成为一个双重问题。”简而言之,黑客获得Securus的用户列表和登录细节可能是特别的危险的。
黑客向Motherboard解释了他们是如何获得这些数据的,此次攻击并不复杂。此外,在2015年发生的Securus黑客攻击事件是The Intercept调查的基础,其中包括7000万名囚犯的电话。
但是,此次数据泄露并不是Securus安全系数低的唯一迹象。Rid 向Motherboard指出了一个可在线获取的Securus用户手册,其中一部分显示了Securus产品的地图和用户界面,但该手册似乎并未使用虚拟数据用于演示,而是包含一位女性的真实姓名、地址和电话号码。Motherboard确认了上述信息的真实性。
Rid告诉Motherboard :“这个用户手册中的个人身份信息暴露引发了一个问题:Securus是否具有保护隐私信息的文化和程序? 答案似乎是否定的。”
参议员Ron Wyden向主要电信公司和FCC发出信件,要求它们在纽约时报的文章发表之前提供更多关于Securus事件的信息。他告诉Motherboard:“如果这一事件是真实的,那么它再次表明Securus在网络安全方面非常失败,并且完全不顾国人的隐私。这一事件进一步证明,无线运营商和FCC需要加强并做更多的事情来确保国人的个人信息不会被出售给像Securus这样漠视网络安全的公司。”
Securus没有立即作出回应。