電話追蹤公司Securus遭黑客攻擊，數千名用戶數據泄露、聯邦調查局介入

【獵雲網（微信號：ilieyun）】5月17日報道（編譯：Mayfly）

一名黑客入侵了Securus的伺服器，該公司具有為執法部門提供追蹤全國幾乎所有電話的能力，美國參議員鼓勵聯邦當局調查這起案件。黑客獲取的數據包括數千名Securus客戶的用戶名和安全性較差的密碼。

雖然目前尚不清楚這些客戶中有多少人正在使用Securus的電話定位服務，但這一消息仍然令人難以置信，作為向執法機構提供監管權的公司，其安全防護竟然如此脆弱。

約翰霍普金斯大學的戰略研究教授Thomas Rid通過在線採訪告訴Motherboard：「從對抗情報機構的角度來看，位置聚合器是黑客最有可能攻擊的目標之一。

上周，紐約時報報道，Securus從AT＆T，Sprint，T-Mobile和Verizon等電信公司獲得手機位置數據，然後將其提供給客戶。該報告補充道，Securus獲取數據的系統通常由營銷商使用，但Securus向執法機構提供的電話追蹤功能則幾乎沒有法律監督。根據法庭記錄，在一起案件中，密西西比州一名前警長使用Securus服務跟蹤其他執法官員的電話。

攻擊Securus的黑客向Motherboard提供了幾個內部公司文件。據稱一個從「警察」資料庫獲取的電子表格包含了從2011年至今的2,800多個用戶名、email地址、電話號碼、哈希密碼（hashed passwords）和安全問題。哈希（Hash）是對一段數據加密處理而形成的雜亂字元串，這意味著公司不需要自己存儲密碼。但哈希是使用安全係數很低的MD5演算法創建的，這意味著攻擊者在很多情況下可以破解用戶的真實密碼。事實上，一些密碼似乎已被破解並包含在電子表格中。 目前還不清楚向Motherboard提供數據的黑客是否破解了所有密碼，也不清楚Securus本身是如何存儲這些密碼的。

電子表格中的大多數用戶來自美國政府機構，包括警局、縣級或市級執法部門。受影響的城市包括明尼阿波利斯，鳳凰城，印第安納波利斯等等。這些數據還包括Securus員工以及使用個人電子郵件地址的用戶，暫時不能確定他們是否隸屬政府部門。

Motherboard通過使用Securus網站的忘記密碼功能來驗證數據。在輸入垃圾郵件地址時，該網站顯示輸入錯誤。但是，使用黑客提供的用戶名和電子郵件地址時，該網站將進入密碼重置過程的下一階段，由此可以確認這些用戶名和密碼的確來源於Securus的系統。

這些用戶中有多少人可以使用Securus的手機定位服務並不清楚。但其他數據顯示，許多用戶可能在監獄工作：其中一些用戶的角色被標記為「監獄管理員」、「監獄長」和「副監獄長」。在其網站上，Securus 將「定位服務」產品銷售給監獄，以便工作人員掌握犯人在哪裡打電話。

Securus網站表示：「即使在GPS關閉的情況下也能追蹤移動設備，呼叫記錄能提供呼叫始發和呼叫終止的地理位置數據。」 一些執法人員正在濫用此產品。

Electronic Frontier Foundation的律師Andrew Crocker在電話採訪中告訴Motherboard：「Securus無需許可證即可進行定位追蹤，並允許其用戶在未經審查的情況下獲取此服務。這是一個問題。如果一個系統不對使用監控權的用戶進行設限，那麼它講成為一個雙重問題。」簡而言之，黑客獲得Securus的用戶列表和登錄細節可能是特別的危險的。

黑客向Motherboard解釋了他們是如何獲得這些數據的，此次攻擊並不複雜。此外，在2015年發生的Securus黑客攻擊事件是The Intercept調查的基礎，其中包括7000萬名囚犯的電話。

但是，此次數據泄露並不是Securus安全係數低的唯一跡象。Rid 向Motherboard指出了一個可在線獲取的Securus用戶手冊，其中一部分顯示了Securus產品的地圖和用戶界面，但該手冊似乎並未使用虛擬數據用於演示，而是包含一位女性的真實姓名、地址和電話號碼。Motherboard確認了上述信息的真實性。

Rid告訴Motherboard ：「這個用戶手冊中的個人身份信息暴露引發了一個問題：Securus是否具有保護隱私信息的文化和程序？ 答案似乎是否定的。」

參議員Ron Wyden向主要電信公司和FCC發出信件，要求它們在紐約時報的文章發表之前提供更多關於Securus事件的信息。他告訴Motherboard：「如果這一事件是真實的，那麼它再次表明Securus在網路安全方面非常失敗，並且完全不顧國人的隱私。這一事件進一步證明，無線運營商和FCC需要加強並做更多的事情來確保國人的個人信息不會被出售給像Securus這樣漠視網路安全的公司。」

Securus沒有立即作出回應。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！