黑客|16岁自闭症少年骗了苹果

黑客|16岁自闭症少年骗了苹果

文章图片

黑客|16岁自闭症少年骗了苹果

文章图片



| 科技巨头为何对黑客攻击防不胜防?
世界顶尖科技公司 , 竟然也会被骗?当地时间周三 , 彭博社爆出消息 , 2021年年中 , Meta和苹果曾被黑客骗取用户数据 , 包括家庭住址、电话号码以及IP地址等信息 。
Meta发言人安迪·斯通(Andy Stone)表示:“我们审查了每一个数据请求 , 并使用先进的系统和流程来验证执法请求的真实性 。 ”此次同样被骗的社交媒体平台Discord也称 , 他们曾对请求进行过核查 , 没想到真邮箱背后竟是假人 。
据悉 , 巨头们被骗 , 是因为黑客披上了执法人员的马甲 。 黑客先是攻击执法部门的电子邮件 , 向苹果、Meta、Snap等公司发出紧急数据请求 , 再配上让人无法拒绝的“等不了法官的命令 , 因为遇到了生死攸关的紧急问题”话术 , 顺利将用户数据骗到手 。
通常来说 , 执法部门向科技公司索要数据用于刑事调查是常规操作 , 这需要法院的传票和搜查令 , 但涉及到严重人身伤害或死亡的紧急情况 , 则可以豁免 。 “紧急情况”由此成了黑客攻破科技巨头的一大漏洞 。
值得一提的是 , 黑客入侵执法部门的邮箱已有成熟的地下链条 , 要解决并非易事 。 网络安全公司Resecurity的CEO Gene Yoo表示:“在暗网商店里 , 执法机构的电子邮件账户可以跟附带的cookies、元数据一起出售 , 售价从10美元到50美元不等 。 ”如果这部分问题无法解决 , 苹果等公司再如何努力 , 面对黑客的攻击 , 都可能防不胜防 。
针对苹果等科技巨头的攻击从去年1月开始 , 现在这些泄露的数据已被用来发起骚扰行动 , 信息可能会被用来进行金融欺诈等 。 遗憾的是 , 类似的诈骗通常只能事后获知 , “这种行为对整个科技行业构成了重大威胁 。 ”Discord集团经理彼得·戴( Peter Day )表示 。
目前 , 苹果和Meta已经向有关部门报告了该情况 。
令人大跌眼镜的是 , 调查发现 , 攻破苹果、Meta的黑客组织Lapsus$ , 7名成员都是未成年人 , 头目是英国一名16岁的少年 , 代号White , 患有自闭症 。 据BBC , 这名少年已经通过黑客行动积累了1400万美元财产 。

图源:十轮网
苹果、Meta之前 , 该黑客组织还攻击过微软、三星、英伟达 , 并经常在Telegram上求购一些大公司内部系统的访问权 , 有时还会向粉丝发起投票 , 征询下一次该攻击哪家公司 。 因为高调且屡屡得逞 , Lapsus$名声大噪 。 截止到3月30日 , Lapsus$的Telegram订阅量接近5万 。
据报道 , 该组织头目White近期于英国牛津被捕 。 White父亲接受采访时说:“直到最近我才听说这件事 , 他从没提过 , 我一直以为他经常摆弄电脑是在玩游戏 。 ”
A
作为掌握海量用户数据的科技公司 , 苹果和Meta内部有一套应对紧急数据请求的成熟方法 。
苹果表示 , 在接到紧急数据请求后 , 他们可能会联系提出请求的执法人员 , 要求他们证明这个请求是合法的 , “前提是它是从请求机构的官方电子邮件发送的 。 ”
Meta也在其官网写道:“根据情况 , 我们可以自愿向执法部门披露信息 , 如果我们有善意的理由相信该事项涉及严重人身伤害或死亡的紧迫风险的话 。 ”
美国国土安全部前网络项目负责人Jared Der-Yeghiayan说:“Meta和Snap等公司运营着自己的门户网站 , 供执法部门发送法律请求 , 另外 , 电子邮箱也能24小时接收请求 。 ”
【黑客|16岁自闭症少年骗了苹果】“大多情况下可以绕过任何正式审查 , 也不需要提供任何法院证明文件 。 而且 , 全世界有数以万计的警察管辖区 , 其中仅在美国就有大约18000个 , 黑客成功所需要的只是非法访问一个警察电子邮件帐户 。 ”网络安全专家克雷布斯(Brian Krebs)表示 。
去年下半年 , 苹果共收到来自29个国家的1162个紧急请求 , 满足了其中的93% 。 去年上半年 , Meta总共收到21000份紧急请求 , 回复了其中的77% 。
黑客组织Lapsus$此次伪造的紧急请求看起来还相当合规 。 据彭博社获悉 , 黑客通过破坏执法部门的电子邮件系统 , 可能找到了一些合法的请求文件 , 并照着样式伪造了假文件和假签名 。

规范的文件、从官方邮箱发送、配上紧急的口吻 , 这次苹果和Meta就是这么中招的 , 据目前外媒报道情况 , 尚不清楚他们各泄露了多少数据 。