为警方提供实时追踪电话的 Securus 公司现遭到了黑客攻击,根据黑客向 Motherboard 的爆料,他们至少盗窃了包含有 2800 个登录名和弱加密密码的用户信息名单。其中一些密码已经被破解。Motherboard 表示,为了证实该网络攻击的事实,他们还对一些登录名进行了登录测试。
Securus 的业务模式
据了解,Securus 是美国一家监狱科技公司。它专门向美国监狱中囚犯提供电话服务,也推出过控制违禁手机的系统,阻止违禁手机接入移动网络和进行呼叫。自成立以来 Securus 已经收购 20 多项政府服务。
纽约时报今年 5 月曾对 Securus 进行了报道,它可以在几秒钟追踪到美国所有电话的具体位置。目前,美国四大移动运营商 AT&A、Verizon、T-Mobile 和 Sprint 都被曝向 Securus 出售客户实时位置数据。
值得一提的是,在 Securus 事件中 ,一个叫做 LocationSmart 的公司也被曝光了。LocationSmart 是美国四大运营商的合作伙伴,得益于这种合作关系,Securus 可以向执法部门等机构实时提供移动设备定位数据。而要获取客户地理位置数据,就需要 LocationSmart 的配合了。
民主党参议员 Ron Wyden 就曾公开指责,LocationSmart 跟 Securus 的组合就是美国隐私法最大的漏洞。因为按着法律程序,警方等执法机构虽然可以直接向电信运营商索要设备位置信息,但手续非常繁杂。与其这么麻烦又没有效率,还不如通过执法机构的合作伙伴 Securus 来解决这个问题。整个数据泄露过程大概如下:
1. 执法机构向 Securus 提出要跟踪的手机;
2.Securus 将目标信息提供给 LocationSmart ,再由 LocationSmart 进行定位跟踪;
3.LocationSmart 将跟踪的信息卖给 Securus;
4. 最后再由第三方转手卖给执法机构。
这恰恰是 Securus 在 LocationSmart 的帮助下,充当政府与运营商之间的中间人,整个过程,执法机构都不需要出示搜查令或其他法律文书。
据外媒 BGR 援引《纽约时报》报道称,目前 Securus 允许警察追踪任何美国民众的号码,没有合法检查来阻止其被滥用。
而 LocationSmart 也自称是全球最大的定位服务公司,可以从美国和加拿大所有主要电信商公司获得资讯,覆盖率高达 95%,可以非常快速的找到任何一支手机的位置。为了证明这项服务有效,该公司最近推出了服务免费试用活动,只要你输入想定位的电话号码,且该号码对其收到的信息回复 " 同意 ",手机位置便会立即返回给你。
根据《纽约时报》的报道,密西西比县一名前警长也曾利用 Securus 服务追踪他人手机,甚至还追踪其它官员,追踪没有得到法院的许可。
虽然目前尚不清楚有多少人正在使用 Securus 的电话定位服务,但这一消息仍然令人难以置信,作为向执法机构提供监管权的公司,其安全防护竟然如此脆弱。不过可以确定许多用户可能在监狱工作,因为一些用户被 Securus 标记为 " 监狱管理员 "、" 监狱长 " 和 " 副监狱长 "。在其网站的产品介绍上,Securus 将 " 产品定位服务 " 定位于监狱,因为它们的产品可以帮助监狱的工作人员随时监控犯人的通话。
攻击过程还原
攻击 Securus 的黑客向 Motherboard 提供了几份看似是执法机构的内部跟踪人名单,这份名单包含了从 2011 年到现在的 2800 多个用户名、email 地址、电话号码、哈希密码等信息。其中哈希是对一段数据加密处理而形成的杂乱字符串,这意味着公司不需要自己存储密码。但哈希是使用安全系数很低的 MD5 算法创建的,这意味着攻击者可以很轻易破解用户的真实密码。
这些泄露的用户都是来自美国政府机构,包括警局、县级或市级执法部门的一些跟踪和调查目标,受影响的城市包括明尼阿波利斯,凤凰城,印第安纳波利斯等等。这些数据还包括 Securus 员工以及使用个人电子邮件地址的用户,暂时不能确定他们是否隶属政府机构。
为了验证这些数据的真实性,Motherboard 通过使用 Securus 网站的密码重置功能来验证。在使用黑客提供的用户名和电子邮件地址时,密码重置会显示这些信息是正确的。
即使在 GPS 关闭的情况下,Securus 也能追踪呼叫设备的位置。Electronic Frontier Foundation 的律师 Andrew Crocker 在电话采访中告诉 Motherboard:
Securus 无需许可证即可进行定位追踪,并允许其执法机构在未经审查的情况下获取此服务,这非常危险。一是 Securus 被滥用的危险,一是 Securus 被黑客攻击后数据泄露的危险。
Securus 并非首次遭到网络攻击
2015 年 11 月, Securus 就遭到网络攻击 , 据悉,被盗窃的通话记录,让人们开始担心律师与其客户之间的保密协议问题。据披露 , 泄露的文件包括了 7000 多万个电话记录 , 它们来自美国 37 个不同的州。在这些电话记录中 , 有 14000 则是囚犯跟其律师的对话。虽然囚犯的电话记录都要被录音 , 但他们跟律师的对话则不在录音范围内 , 并且很多时候 , 正是因为这一部分通话被拦截后导致案件最终走向发生转变。
而此次的黑客攻击事件,则再次说明,Securus 不但不会保护犯人的隐私,就连其自身的安全防护也烂的一塌糊涂。目前,Securus 还没有对此次事件作出回应。
总结
由此引发的思考是,Securus 与 LocationSmart 的这些行为,产生于隐私法非常严格的美国。我想可能是而就是因为隐私法让执法机构的取证相当困难,所以执法机构才会想出这样间接的方式,获取原本规定不可随意外漏的个人资料,而当初被起诉的警长,目前也未获罪。