信息來源：安全內(nèi)參

• 安全博客KrebsOnSecurity披露了一種偽裝政府執(zhí)法部門向互聯(lián)網(wǎng)公司套取用戶數(shù)據(jù)的攻擊手法，攻擊者竊取執(zhí)法部門郵箱等官方賬號，向互聯(lián)網(wǎng)平臺發(fā)送“緊急數(shù)據(jù)申請”，從而套取用戶敏感數(shù)據(jù)；

• 最近興起的LAPSUS$數(shù)據(jù)勒索團伙正是利用這一手法為基礎(chǔ)，成功入侵了微軟、Okta、英偉達等知名企業(yè)內(nèi)網(wǎng)竊取數(shù)據(jù)，蘋果、Meta等巨頭曾應(yīng)黑客要求提供用戶數(shù)據(jù)；

• 互聯(lián)網(wǎng)巨頭們向黑客提供的數(shù)據(jù)包括用戶的基本信息，如消費者的家庭住址、電話號碼、IP地址等。

美國聯(lián)邦、州或地方執(zhí)法部門要想獲得與某位公民有關(guān)的社交賬號、電話號碼等私人信息，必須首先申請法庭執(zhí)行令或傳票。但在某些特殊情形下——比如面臨重大傷害或死亡時，執(zhí)法或調(diào)查部門會動用所謂的“緊急數(shù)據(jù)申請”（EDR）權(quán)限，在未經(jīng)官方審批、也不需要提供任何法庭批準文書的情況下獲取所需數(shù)據(jù)與信息。

正如前美國司法部檢察官馬克?拉什（Mark Rasch）所說，“我們建立有一種緊急程序，網(wǎng)絡(luò)服務(wù)提供商可以據(jù)此允許警察對數(shù)據(jù)進行緊急訪問。”但他同時也指出了“緊急數(shù)據(jù)申請”的致命漏洞——“‘緊急數(shù)據(jù)申請’沒有一套有效的實用機制，供互聯(lián)網(wǎng)服務(wù)商或科技公司驗證法院搜查令或傳票的合法性。只要申請看上去像真的，他們就會配合?！?

很顯然，一些網(wǎng)絡(luò)犯罪分子已意識到科技公司收到“緊急數(shù)據(jù)申請”后，并沒有快速便捷方法確認其合法性。所以他們找到了一種非常有效的方法，可以用來在未取得法庭授權(quán)的情況下從網(wǎng)絡(luò)服務(wù)商、電話公司以及社交媒體公司處“收割”敏感用戶數(shù)據(jù)，即通過非法侵入的警察部門郵件系統(tǒng)向科技公司發(fā)送虛假的“緊急數(shù)據(jù)申請”，要求對用戶數(shù)據(jù)進行未獲得法庭授權(quán)的訪問。同時附上一份證明書，證明如果科技公司不能立即提供所申請的數(shù)據(jù)信息，無辜的普通人就很可能遭受巨大痛苦甚至死亡。

幾乎所有擁有海量線上用戶的大型科技公司都設(shè)有專門部門負責審查和處理此類申請。事實上，只要提交了正式文件而且發(fā)出的網(wǎng)絡(luò)地址與現(xiàn)實中的警察部門相符，這些申請基本上都會得到批準。

在這樣的背景下，凡收到“緊急數(shù)據(jù)申請”的公司都會發(fā)現(xiàn)自己只能在兩種不光彩的結(jié)果中二選一：一是忽略“緊急數(shù)據(jù)申請”，但可能會因此造成傷亡事件；二是配合申請?zhí)峁┫鄳?yīng)數(shù)據(jù)，但可能會有把客戶信息泄露給壞人的風險。

虛假“傳票”攻擊越來越難以防范

年輕犯罪團伙冒充執(zhí)法部門，以發(fā)送虛假法庭傳票的方式隨心所欲地獲取目標特許數(shù)據(jù)，這種現(xiàn)象目前越來越常見。

數(shù)據(jù)勒索集團LAPSUS$的所作所為就是一個典型的例子。調(diào)查發(fā)現(xiàn)，該團伙已用這種方式對微軟、Okta、英偉達和沃達豐等全球知名企業(yè)進行過勒索。

LAPSUS$團伙利用虛假“緊急數(shù)據(jù)申請”謀財?shù)臅r間可追溯至其前身，一名14歲英國少年（網(wǎng)絡(luò)名為“White”或“Everlynn”）建立的“Recursion Team”。Recursion Team曾于2021年4月5日在網(wǎng)絡(luò)犯罪論壇上發(fā)出“廣告貼”，稱可以獲得任何執(zhí)法部門的數(shù)據(jù)并借此向蘋果、谷歌、Snapchat等大型科技公司發(fā)出虛假搜查令或傳票等服務(wù)，“每次100至250美元?！?

此前，該團伙還在另外一個廣告貼中宣稱擁有從阿根廷政府所轄機構(gòu)內(nèi)發(fā)送電子郵件的能力。

“有政府電子郵件系統(tǒng)出售，可用來向蘋果、優(yōu)步、Instagram等公司發(fā)送（虛假）傳票郵件，”廣告還提醒潛在“客戶”，“此舉非法，如果不使用VPN可能會遭到追查?！?

安全博客KrebsOnSecurity近日對專門非法曝光他人信息的Doxbin網(wǎng)站老板、網(wǎng)名KT的知名黑客進行了連線采訪。后者認為，“緊急數(shù)據(jù)申請”已越來越成為黑客們追蹤、侵入、騷擾以及公開羞辱他人的常用手段。他指出，虛假的“緊急數(shù)據(jù)申請”通常會附帶有“某人生命正處于危險中”之類的緊急情況證明，不由得收到申請的科技公司不相信。

“暴力威脅再加上此類證明是很容易讓人信服的，”他說。

KT舉例稱，黑客今年年初曾瞄準了一名年僅18歲的青年人，希望從社交網(wǎng)站Discord處獲得他的個人信息。Discord網(wǎng)站于是收到了一份“緊急數(shù)據(jù)申請”，要求提供與目標用戶電話號碼相關(guān)聯(lián)的用戶賬號及其瀏覽記錄。網(wǎng)站毫不猶豫地予以配合。

“Discord只用了30分鐘至60分鐘就對‘緊急數(shù)據(jù)申請’做出回應(yīng)并提供了相關(guān)數(shù)據(jù)，”KT說。

Discord網(wǎng)站在接受采訪時辯解稱，當時那份“緊急數(shù)據(jù)申請”確實來自執(zhí)法部門網(wǎng)站，但他們后來才得知該網(wǎng)站已被黑客入侵?！拔覀兇_信網(wǎng)站收到的申請來自執(zhí)法部門使用的域名系統(tǒng)，因此根據(jù)規(guī)定予以配合，” Discord網(wǎng)站在局面聲明中說?！鞍凑找?guī)定，我們必須驗證此類申請的出處是否真實有效。我們這樣做了，而且確認發(fā)出申請的執(zhí)法部門賬號是合規(guī)的。只是后來才知道該賬號已被惡意攻擊者利用。隨后我們對此事件發(fā)起調(diào)查并向執(zhí)法部門做了通報?！?

KT認為，虛假的“緊急數(shù)據(jù)申請”越來越難以防范，重要的原因之一是這些申請并非一定非得從真正的執(zhí)法機構(gòu)內(nèi)部發(fā)出。專門從事虛假“緊急數(shù)據(jù)申請”發(fā)送服務(wù)的黑客一般會先侵入警察部門的網(wǎng)站，劫持其郵件系統(tǒng)并在服務(wù)器上留下可以永久進入的“后門”，然后在被劫持的系統(tǒng)內(nèi)創(chuàng)建新賬號供自己使用?！斑@樣他們就可以在任意地方登陸警用郵件系統(tǒng)，向目標公司發(fā)出虛假‘緊急數(shù)據(jù)申請’了?！绷硗?，黑客還可以利用獲取的警用電子郵件系統(tǒng)密碼進行虛假“緊急數(shù)據(jù)申請”發(fā)送。KT說，黑客們首先會識別并進入執(zhí)法部門人員使用的電子郵件地址，然后輸入已經(jīng)竊取的密碼以蒙混過關(guān)。

他還說，盡管目前政府部門或機構(gòu)都很重視網(wǎng)絡(luò)安全問題，但漏洞依然存在?！艾F(xiàn)在已幾乎不可能在政府網(wǎng)站內(nèi)留下‘后門’，但有人確實仍然具備這種能力，”他說?！罢块T現(xiàn)在大多使用微軟的Outlook系統(tǒng)。該系統(tǒng)通常內(nèi)嵌了多因素身份驗證，很難突破。但并非所有部門都使用Outlook，也并非所有Outlook系統(tǒng)都內(nèi)嵌了多因素身份驗證?！?

防范虛假“傳票”攻擊的努力仍在進行中

加利福尼亞大學伯克利分校網(wǎng)絡(luò)安全專家尼古拉斯·韋弗（Nicholas Weaver）認為，清除虛假“緊急數(shù)據(jù)申請”的難題之一，是沒有一個最基本的網(wǎng)上身份驗證系統(tǒng)。

“我所知道的解決之道，是讓聯(lián)邦調(diào)查局成為各州、各地方執(zhí)法部門的唯一身份標識提供者，”韋弗說?！暗@并不一定能解決問題。因為聯(lián)邦調(diào)查局也無法對某些緊急申請是否來自被入侵的警用系統(tǒng)進行實時調(diào)查。”

如果聽到韋弗的建議，聯(lián)邦調(diào)查局可能也會苦笑著搖頭——事實上，他們連自己的網(wǎng)站地址安全都保證不了。KrebsOnSecurity 曝出的一則新聞顯示，黑客曾于2021年11月利用聯(lián)邦調(diào)查局 “執(zhí)法企業(yè)門戶”（LEEP）平臺上存在的漏洞，向數(shù)千個州和地方執(zhí)法機構(gòu)發(fā)送了題為《緊急：系統(tǒng)中存在威脅行動者》（Urgent: Threat actor in systems）的虛假郵件。這些郵件的發(fā)送地址無一例外都顯示為真正的fbi.gov。

當KrebsOnSecurity網(wǎng)站問及聯(lián)邦調(diào)查局是否察覺到自己的辦公系統(tǒng)被黑客用來發(fā)送無授權(quán)“緊急數(shù)據(jù)申請”時，后者顧左右而言他，只聲稱本局已注意到有黑客利用其他部門的辦公系統(tǒng)向公共部門或私營公司發(fā)送虛假“緊急數(shù)據(jù)申請”。“我們以非常嚴肅的態(tài)度處置了此類報告，并不遺余力地對報告事項進行了追蹤調(diào)查，”聯(lián)邦調(diào)查局在局面聲明中說。

前美國司法部檢察官馬克?拉什表示，網(wǎng)絡(luò)服務(wù)提供商除了需要一套嚴謹?shù)睾戏ㄉ暾垖彶闄C制，還需要知曉美國所有警官的名字才能有更大機率發(fā)現(xiàn)本公司收到的無授權(quán)“緊急數(shù)據(jù)申請”。

“現(xiàn)在的問題是，他們手里沒有一份可信名單標明所有有權(quán)發(fā)出‘緊急數(shù)據(jù)申請’的人員姓名，”拉什說?！岸壹词褂羞@樣一份名單，所列人員也是會經(jīng)常變動的，總是會留下一些漏洞被黑客利用。整個系統(tǒng)的安全水平不會因這份名單的存在而比警官的個人郵箱安全多少。”

韋弗認為，阻止虛假“緊急數(shù)據(jù)申請”泛濫的可能手段之一，是讓網(wǎng)絡(luò)犯罪分子意識到發(fā)送虛假“緊急數(shù)據(jù)申請”是一件會付出高昂代價的事情?！鞍l(fā)送虛假‘緊急數(shù)據(jù)申請’并不需要高明的技術(shù)，只要你有這種意愿就行。但如果讓發(fā)送者覺得被抓住以后會帶來很危險的后果，他們的意愿也許就會消失?！?

美國國會也在為消除虛假“緊急數(shù)據(jù)申請”而努力。2021年7月，美國參議院針對網(wǎng)絡(luò)詐騙分子和犯罪分子捏造的虛假法庭命令越來越多這一現(xiàn)象通過新法案，準許向州和地方法庭撥款，助其采用滿足國家標準和技術(shù)協(xié)會標準的數(shù)字簽名技術(shù)。

“假造的法庭命令一般會通過復(fù)制、粘貼法官簽名才能發(fā)揮作用，”一位參議員就新法案發(fā)表聲明時說。他指出，《法庭命令數(shù)字真實性法案》（Digital Authenticity for Court Orders Act）要求聯(lián)邦、州和地方法庭在簽署與監(jiān)視授權(quán)、域名扣押和線上內(nèi)容移除等內(nèi)容相關(guān)的法庭命令時啟用數(shù)字簽名技術(shù)，以強化其防偽能力。

參考來源：https://krebsonsecurity.com/2022/03/hackers-gaining-power-of-subpoena-via-fake-emergency-data-requests/、https://www.bloomberg.com/news/articles/2022-03-30/apple-meta-gave-user-data-to-hackers-who-forged-legal-requests