Krebs On Security 周二警告稱:黑客正越來越多地利用受感染的政府和警察部門的電子郵件賬戶,以從移動運營商、互聯網服務提供商(ISP)和社交媒體公司榨取敏感的客戶信息。周四,美國參議院內精通技術的議員之一表示,其對這份報告感到很是不安,並且已向科技企業和聯邦機構發去詢問,以了解此類活動到底有多活躍。
叫賣政府與警方電子郵件賬戶訪問權限的帖子截圖
引發爭議的“緊急數據請求”(EDR),通常由經常或政府機構的電子郵件賬戶發出,特點是能夠繞過法院傳票或收查令,讓科技企業交出客戶或用戶數據。
鑒於任何管轄區的警局都可基於 EDR 請求而立即訪問數據(前提是執法機構提供了數據請求的緊迫性證明),黑客顯然也盯上了這個薄弱環節。
正如周二報道的那樣,對於一個搜到 EDR 請求的企業來說,經手人員並無快速簡便的方法來知悉該請求是否合法。
畢竟僅在美國境內,就有大約 1.8 萬個不同的警察組織,更別提還有遍布全球的數千個政府和警察機構。
利用這種模糊性,網絡犯罪分子便積極尋求攻破相關組織的電子郵件賬戶,然後就可以向受害企業發去以假亂真的緊急數據請求郵件。
本周的系列報道,證實了社交媒體平台 Discord 已經躺槍。此外彭博社周三指出,近期已有黑客成功地騙到了蘋果和 Meta(Facebook)頭上。
黑客兜售偽造 EDR 傳票 / 搜查令的服務
KrebsOnSecurity 援引俄勒岡州參議員 Ron Wyden 的話稱:
近期的新聞報道,揭示了針對美國民眾和國家安全的巨大威脅。我特別擔心這種偽造的緊急數據請求命令,可能被別有用心的境外組織利用於針對廣大弱勢群體。
我正在向科技企業和多個聯邦機構索取信息,以了解黑客對 EDR 請求的確切濫用情況。沒人希望科技企業在個人安全受威脅時拒絕合法的緊急請求,但現有機制有着亟需修補的明確缺口。
假冒政府請求的欺詐行為已構成一個重大的問題,這也是我為何呼籲推動《法院命令數字真實性法案》的立法、以徹底杜絕偽造的法院傳票或搜查令的主要原因。
此外周二報道表明,以欺詐手段獲得的緊急數據請求,利用了臭名昭著的 LAPSUS$ 黑客組織的工具。
早些時候,該組織侵入了微軟、英偉達、Okta 和三星等企業,但其中一名英國青少年黑客已因頻繁發送虛假 EDR 而被多次逮捕。