多家科技巨头遭冒充执法机构和人员的骇客欺骗,并提供了部分用户数据;随后,骇客用这些数据骚扰、勒索和性勒索这些用户,其中还包括未成年用户!
据《彭博社》报导,几乎所有社交媒体和通讯工具主要科技公司都纷纷“中招”,为骇客提供数据的公司包括苹果、谷歌、推特、Snap、Meta和 Discord。
据悉,骇客集团是通过入侵外国执法机构的电邮系统,并以“紧急数据要求”这些科技巨头提供特定用户的帐户详细信息,例如姓名、IP 地址、实际地址、电子邮件详细信息等。
确实,真正的执法机构有时会提出这些要求,因为当局可以在涉及自杀、谋杀、绑架等的案件中使用这些信息。
而科技公司通常也会出于善意遵守这些要求,但是当这些敏感信息落入骇客手中,它们就会成为一个问题。
骇客用通过这些虚假法律请求获得的信息侵入受害者的在线账户,或者有时与女性和未成年人交朋友并索取露骨照片。
如果他们不遵守,这些骇客将通过“监控攻击(swatting)”或“发布个人私密文件(doxxing)”的方式对受害者来进行骚扰。
在一些案例中,骇客强迫受害者将自己的名字刻在皮肤上,然后再将其图分享像到其他地方。
美国参议员罗恩怀登表示:“让我感到特别担心的是,假冒的紧急命令可能来自受到影响的外国执法机构,然后被用来针对弱势及个人。”
“没有人希望科技公司在某人的安全受到威胁时,拒绝合法的紧急请求,但目前的系统有明显的弱点,需要加以解决。”
美国联邦执法机构目前正与行业调查人员就该问题展开合作;随后Discord也表示,他们会验证所有紧急法律请求。
而脸书则表示他们会审查每个数据请求的“法律充分性”,并拥有许多先进的系统来验证法律请求和检测滥用行为。
同时,谷歌回应《彭博社》表示,他们去年首次发现冒充执法的不法份子提出虚假请求,并就此事与有关当局联系。
谷歌发言人表示:“2021年,我们发现了一个冒充合法政府官员的恶意行为者的欺诈性数据请求。我们很快确定了一个负责人,并通知了执法部门。”
“我们正在积极与执法部门和行业内的其他人合作,以检测和防止非法的数据请求。”
很遗憾看到用户数据可以如此轻易地被泄露,但在这些公司的辩护中,紧急数据请求通常对当局在危及生命的现实情况下有所帮助。
然而,鉴于黑客的这种新策略,世界各地的当局将需要开始改善自身的网络安全,而科技公司本身应该实施某种形式的确认回调政策;通过这种方式,他们可以防止更多假冒的法律请求,以避免用户数据被泄露。
