为警方提供实时追踪电话的Securus公司现遭到了黑客攻击,根据黑客向Motherboard的爆料,他们至少盗窃了包含有2800个登录名和弱加密密码的用户信息名单。其中一些密码已经被破解。Motherboard表示,为了证实该网络攻击的事实,他们还对一些登录名进行了登录测试。
Securus的业务模式
据了解,Securus是美国一家监狱科技公司。它专门向美国监狱中囚犯提供电话服务,也推出过控制违禁手机的系统,阻止违禁手机接入移动网络和进行呼叫。自成立以来Securus已经收购20多项政府服务。
纽约时报今年5月曾对Securus进行了报道,它可以在几秒钟追踪到美国所有电话的具体位置。目前,美国四大移动运营商AT&A、Verizon、T-Mobile和Sprint都被曝向Securus出售客户实时位置数据。
值得一提的是,在Securus事件中 ,一个叫做LocationSmart的公司也被曝光了。LocationSmart是美国四大运营商的合作伙伴,得益于这种合作关系,Securus可以向执法部门等机构实时提供移动设备定位数据。而要获取客户地理位置数据,就需要LocationSmart的配合了。
民主党参议员Ron Wyden就曾公开指责,LocationSmart跟Securus的组合就是美国隐私法最大的漏洞。因为按着法律程序,警方等执法机构虽然可以直接向电信运营商索要设备位置信息,但手续非常繁杂。与其这么麻烦又没有效率,还不如通过执法机构的合作伙伴Securus来解决这个问题。整个数据泄露过程大概如下:
1.执法机构向Securus提出要跟踪的手机;
2.Securus将目标信息提供给LocationSmart ,再由LocationSmart进行定位跟踪;
3.LocationSmart将跟踪的信息卖给Securus;
4.最后再由第三方转手卖给执法机构。
这恰恰是Securus在LocationSmart的帮助下,充当政府与运营商之间的中间人,整个过程,执法机构都不需要出示搜查令或其他法律文书。
据外媒BGR援引《纽约时报》报道称,目前Securus允许警察追踪任何美国民众的号码,没有合法检查来阻止其被滥用。
而LocationSmart也自称是全球最大的定位服务公司,可以从美国和加拿大所有主要电信商公司获得资讯,覆盖率高达95%,可以非常快速的找到任何一支手机的位置。为了证明这项服务有效,该公司最近推出了服务免费试用活动,只要你输入想定位的电话号码,且该号码对其收到的信息回复“同意”,手机位置便会立即返回给你。
根据《纽约时报》的报道,密西西比县一名前警长也曾利用Securus服务追踪他人手机,甚至还追踪其它官员,追踪没有得到法院的许可。
虽然目前尚不清楚有多少人正在使用Securus的电话定位服务,但这一消息仍然令人难以置信,作为向执法机构提供监管权的公司,其安全防护竟然如此脆弱。不过可以确定许多用户可能在监狱工作,因为一些用户被Securus标记为“监狱管理员”、“监狱长”和“副监狱长”。在其网站的产品介绍上,Securus将“产品定位服务”定位于监狱,因为它们的产品可以帮助监狱的工作人员随时监控犯人的通话。
攻击过程还原
攻击Securus的黑客向Motherboard提供了几份看似是执法机构的内部跟踪人名单,这份名单包含了从2011年到现在的2800多个用户名、email地址、电话号码、哈希密码等信息。其中哈希是对一段数据加密处理而形成的杂乱字符串,这意味着公司不需要自己存储密码。但哈希是使用安全系数很低的MD5算法创建的,这意味着攻击者可以很轻易破解用户的真实密码。
这些泄露的用户都是来自美国政府机构,包括警局、县级或市级执法部门的一些跟踪和调查目标,受影响的城市包括明尼阿波利斯,凤凰城,印第安纳波利斯等等。这些数据还包括Securus员工以及使用个人电子邮件地址的用户,暂时不能确定他们是否隶属政府机构。
为了验证这些数据的真实性,Motherboard通过使用Securus网站的密码重置功能来验证。在使用黑客提供的用户名和电子邮件地址时,密码重置会显示这些信息是正确的。
即使在GPS关闭的情况下,Securus也能追踪呼叫设备的位置。Electronic Frontier Foundation的律师Andrew Crocker在电话采访中告诉Motherboard:
Securus无需许可证即可进行定位追踪,并允许其执法机构在未经审查的情况下获取此服务,这非常危险。一是Securus被滥用的危险,一是Securus被黑客攻击后数据泄露的危险。
Securus并非首次遭到网络攻击
2015年11月, Securus就遭到网络攻击,据悉,被盗窃的通话记录,让人们开始担心律师与其客户之间的保密协议问题。据披露,泄露的文件包括了7000多万个电话记录,它们来自美国37个不同的州。在这些电话记录中,有14000则是囚犯跟其律师的对话。虽然囚犯的电话记录都要被录音,但他们跟律师的对话则不在录音范围内,并且很多时候,正是因为这一部分通话被拦截后导致案件最终走向发生转变。
而此次的黑客攻击事件,则再次说明,Securus不但不会保护犯人的隐私,就连其自身的安全防护也烂的一塌糊涂。目前,Securus还没有对此次事件作出回应。
总结
由此引发的思考是,Securus与LocationSmart的这些行为,产生于隐私法非常严格的美国。我想可能是而就是因为隐私法让执法机构的取证相当困难,所以执法机构才会想出这样间接的方式,获取原本规定不可随意外漏的个人资料,而当初被起诉的警长,目前也未获罪。
原文发布时间为:2018-05-24
