| 科技巨頭為何對黑客攻擊防不勝防？

世界頂尖科技公司，竟然也會被騙？當地時間周三，彭博社爆出消息，2021年年中，Meta和蘋果曾被黑客騙取用戶數據，包括家庭住址、電話號碼以及IP地址等信息。

Meta發言人安迪·斯通（Andy Stone）表示：“我們審查了每一個數據請求，并使用先進的系統和流程來驗證執法請求的真實性。”此次同樣被騙的社交媒體平臺Discord也稱，他們曾對請求進行過核查，沒想到真郵箱背后竟是假人。

據悉，巨頭們被騙，是因為黑客披上了執法人員的馬甲。黑客先是攻擊執法部門的電子郵件，向蘋果、Meta、Snap等公司發出緊急數據請求，再配上讓人無法拒絕的“等不了法官的命令，因為遇到了生死攸關的緊急問題”話術，順利將用戶數據騙到手。

通常來說，執法部門向科技公司索要數據用于刑事調查是常規操作，這需要法院的傳票和搜查令，但涉及到嚴重人身傷害或死亡的緊急情況，則可以豁免。“緊急情況”由此成了黑客攻破科技巨頭的一大漏洞。

值得一提的是，黑客入侵執法部門的郵箱已有成熟的地下鏈條，要解決并非易事。網絡安全公司Resecurity的CEO Gene Yoo表示：“在暗網商店里，執法機構的電子郵件賬戶可以跟附帶的cookies、元數據一起出售，售價從10美元到50美元不等。”如果這部分問題無法解決，蘋果等公司再如何努力，面對黑客的攻擊，都可能防不勝防。

針對蘋果等科技巨頭的攻擊從去年1月開始，現在這些泄露的數據已被用來發起騷擾行動，信息可能會被用來進行金融欺詐等。遺憾的是，類似的詐騙通常只能事后獲知，“這種行為對整個科技行業構成了重大威脅。”Discord集團經理彼得·戴( Peter Day )表示。

目前，蘋果和Meta已經向有關部門報告了該情況。

令人大跌眼鏡的是，調查發現，攻破蘋果、Meta的黑客組織Lapsus$，7名成員都是未成年人，頭目是英國一名16歲的少年，代號White，患有自閉癥。據BBC，這名少年已經通過黑客行動積累了1400萬美元財產。

圖源：十輪網

蘋果、Meta之前，該黑客組織還攻擊過微軟、三星、英偉達，并經常在Telegram上求購一些大公司內部系統的訪問權，有時還會向粉絲發起投票，征詢下一次該攻擊哪家公司。因為高調且屢屢得逞，Lapsus$名聲大噪。截止到3月30日，Lapsus$的Telegram訂閱量接近5萬。

據報道，該組織頭目White近期于英國牛津被捕。White父親接受采訪時說：“直到最近我才聽說這件事，他從沒提過，我一直以為他經常擺弄電腦是在玩游戲。”

作為掌握海量用戶數據的科技公司，蘋果和Meta內部有一套應對緊急數據請求的成熟方法。

蘋果表示，在接到緊急數據請求后，他們可能會聯系提出請求的執法人員，要求他們證明這個請求是合法的，“前提是它是從請求機構的官方電子郵件發送的。”

Meta也在其官網寫道：“根據情況，我們可以自愿向執法部門披露信息，如果我們有善意的理由相信該事項涉及嚴重人身傷害或死亡的緊迫風險的話。”

美國國土安全部前網絡項目負責人Jared Der-Yeghiayan說：“Meta和Snap等公司運營著自己的門戶網站，供執法部門發送法律請求，另外，電子郵箱也能24小時接收請求。”

“大多情況下可以繞過任何正式審查，也不需要提供任何法院證明文件。而且，全世界有數以萬計的警察管轄區，其中僅在美國就有大約18,000個，黑客成功所需要的只是非法訪問一個警察電子郵件帳戶。”網絡安全專家克雷布斯（Brian Krebs）表示。

去年下半年，蘋果共收到來自29個國家的1162個緊急請求，滿足了其中的93%。去年上半年，Meta總共收到21000份緊急請求，回復了其中的77%。

黑客組織Lapsus$此次偽造的緊急請求看起來還相當合規。據彭博社獲悉，黑客通過破壞執法部門的電子郵件系統，可能找到了一些合法的請求文件，并照著樣式偽造了假文件和假簽名。

規范的文件、從官方郵箱發送、配上緊急的口吻，這次蘋果和Meta就是這么中招的，據目前外媒報道情況，尚不清楚他們各泄露了多少數據。

網絡安全調查公司Unit 221B的首席研究官艾莉森·尼克松（Allison Nixon）說：“目前很難找到從被黑執法電子郵件系統發送的偽造法律請求的潛在解決方案。”

針對此事，Meta回應：“目前，我們已經封鎖了已知的被盜帳戶，阻止他們提出要求，并與執法單位合作，應對涉及詐欺的事件。”據Krebs on Security報道，另一家受到波及的公司Snap的一位發言人表示，該公司已經采取了防范措施，加強偵查來自執法部門的欺詐請求。

面對黑客攻擊，巨頭們顯得也有些無可奈何。

去年12月，Lapsus$因攻擊巴西衛生部的計算機系統被注意到，當時他們竊取了包括巴西公民的疫苗接種信息在內的50TB的數據。很快，他們又攻擊了葡萄牙的一家媒體，成了葡萄牙歷史上最大的網絡安全事件之一。

名聲大噪的Lapsus$，通過Telegram發布聲明和招募同伴，時常發布預告稱將“搞個大新聞”，甚至把下一次要攻擊哪家公司掛出來讓粉絲投票，沃達豐（Vodafone）、T-Mobile等公司赫然在列。

但關于這個組織，外界了解的不多。據Wired報道，這是一個松散的團隊。安全軟件公司Emsisoft威脅情報分析師Brett Callow表示：“他們的行為看起來不像經驗豐富的網絡犯罪分子。”還有人推測，該組織總部設在南美，因為他們最初的幾個活動是針對巴西的。

他們通常會通過招聘等方式從員工那拿到一些公司的訪問憑證，通過遠程控制來獲取數據或源代碼，然后在Telegram上發布消息、威脅勒索公司。

在White被鬧翻的同行曝光出姓名、地址和社交媒體照片，并透露其凈資產超過300比特幣（近1400萬美元）后，彭博社循著這些線索找到White的家，距牛津大學5英里的一棟樸素的房子，記者通過門鈴對講系統與他的母親聊了10分鐘左右。在談話中，他母親表示，并不清楚外界對她兒子的指控，但她提到，由于信息被泄露，他們一家遭受了很多騷擾。

作為Lapsus$的主謀，White是一名16歲少年，因自閉癥在英國牛津上特殊學校。有意思的是，在拉丁語中，Lapsus指的是說話和寫作時的無心之失。

據彭博社報道，網絡安全研究人員已經跟蹤White將近一年，且定期向執法部門通報犯罪情況。“去年年中，在他被人肉之前，我們就確認了他的身份。”尼克松說。

被抓捕前不久，Lapsus$還在Telegram上預告：“我們可能會歇一段時間，可能會放假到2022年3月30日，感謝理解，我們會盡快拿出點猛料。”

盡管Lapsus$成立時間不長，但做的事卻不少。英偉達是他們第一家成功攻擊的科技巨頭。

2月23日，英偉達承認遭到了黑客攻擊，據悉，這次攻擊讓英偉達的郵件系統和開發工具癱瘓了將近兩天。

Lapsus$頗為自豪地認領了他們干的事兒，聲稱已拿到英偉達1TB的重要數據，以及7.1萬名英偉達員工的電子郵箱和密碼。

Lapsus$揣著數據，一會兒要求英偉達“刪除所有30系顯卡驅動中對挖礦功能的限制”，一會兒讓英偉達“開源顯卡驅動”，一會兒又表示，他們會把這些信息打包賣出去，價格是100萬美元。Lapsus$給英偉達下的最后通牒是，讓其開源Windows、MacOS、Linux系統的GPU驅動。

英偉達嘗試過遠程加密數據，切斷Lapsus$內網等自救方式，只是最后因為Lapsus$有備份，并沒成功。

幾天后，Lapsus$轉移陣地，跟粉絲說：“別看英偉達了，進來看三星”。他們黑了三星的源代碼，甚至連和三星合作的高通都沒能躲過去。

三星之后，Lapsus$又攻擊了微軟，游戲廠商Ubisoft，在線商務平臺Mercado Libre、科技公司Okta等。

事實上，科技巨頭和黑客之間的關系相當微妙：科技巨頭一邊要防止黑客的偷襲，一邊又希望他們能為自己所用。

值得一提的是，黑客也有作惡與不作惡之分。2020年，有黑客因發現iPhone漏洞被獎勵7.5萬美金，這類屬于保護網絡安全的白帽黑客，反之則是黑帽黑客。

白帽黑客是科技公司的重要盟友。騰訊安全聯合實驗室的一些員工得過相當于白帽黑客領域的奧斯卡獎提名（Pwine Awards），百度安全總經理馬杰還把世界著名黑客大會DEF CON引進中國。

通常，黑帽黑客會比白帽黑客收入更高。據第一財經報道，創造出“熊貓燒香”病毒的三個黑客，三個月收入三千萬，而BAT三家互聯網公司的安全研究人員年薪在百萬左右。這也是許多黑帽黑客鋌而走險的原因之一。

站在巨頭的角度，將他們招入麾下是更理想的解決方式，但對于一群未成年、且難以駕馭的孩子，蘋果和Meta們還能做些什么？

參考資料：

1.蘋果和Meta將用戶數據提供給偽造法律請求的黑客，Bloomberg

2.網絡研究人員懷疑黑客組織主謀是未成年人，Bloomberg

3.牛津未成年人被指控是網絡罪犯，BBC

4.蘋果和Meta向偽裝成執法官員的黑客分享數據，The Verge

5.蘋果公司也成網絡安全受害者，黑客偽裝執法機構套取用戶數據，財聯社

6.【揭秘】中國黑客：白帽子與黑帽子的收入竟有天壤之別，第一財經

7.拳打英偉達腳踢三星的黑客，又準備開始搞事了，差評