黑客闯入网站,窃取数据,然后放在互联网上销售,其他的一些黑客或诈骗者则将其用于自己的目的。但是,泄露的数据现在有另一个大客户:执法部门。
一些公司向政府机构出售这些被窃取数据的访问权限,希望这些数据能产生调查线索,这些数据包括密码、电子邮件地址、IP地址等。
(本文第一人称为Motherboard网站)
我们获得了一个名为SpyCloud的公司提供给潜在客户的网络研讨会幻灯片。在该网络研讨会中,该公司声称,它将“授权来自全球执法机构和企业的调查人员更迅速、更有效地将恶意行为者绳之以法。”
我们的一名线人向我们分享了这些幻灯片,他担心执法机构会购买这些被窃取的数据。我们也向SpyCloud公司确认了ppt的真实性。
SpyCloud联合创始人兼首席产品官戴夫•恩德勒(Dave Endler)在电话中告诉Motherboard:“我们正在利用罪犯的数据来对付罪犯,或者至少这些数据在执法部门会被用于对付罪犯。”
购买泄露数据的法律问题
此次出售展示出被泄露数据的某种新用途,即通常与商业相关的数据也可以被执法部门重新利用。但这也提出了一个问题,即执法机构是否应该利用黑客窃取的信息。从SpyCloud购买数据,执法部门除了获取到罪犯的数据之外,也会获取到与犯罪不相关人员的数据,并且不需要相关法律程序就能够获取到用户的数据。
斯坦福大学互联网与社会中心(Stanford Center for Internet and Society)负责监控与网络安全的副主任里安娜•普费弗科恩(Riana Pfefferkorn)在一封电子邮件中告诉我们:“执法部门可以通过购买的方式获得大量账户信息,甚至密码,而不需要通过任何法律程序,这令人不安。通常情况下,如果警方想知道,比如,什么IP地址与一个特定的在线账户有关,他们必须向服务提供商提供法律服务。通常来说这属于法律程序的最后一环。”
她说:“虽然打击犯罪听起来是数据泄露的一种良性的应用,但令人不安的是,执法机构却在用纳税人的钱来获取纳税人的数据,这些泄露的数据本身就是一种对纳税人权益的损害”
SpyCloud公司
SpyCloud的主要业务是帮助账号被黑的个人或组织,阻止他们的账号被继续非法利用。在它的网站上,任何人都可以用他们的电子邮件地址注册,验证他们的账号是否被黑,另外还可以查看哪些数据泄露了他们的信息。在某种程度上,这是安全研究人员特洛伊•亨特(Troy Hunt)自己的数据泄露服务(Have I Been Pwned?)的商业版本。SpyCloud的不同之处在于,它的数据可以与Maltego等调查软件捆绑在一起,从而更容易在不同信息之间建立关联分析。
SpyCloud还为执法部门提供了这种数据访问,即允许机构查找其他人被曝光的信息
在另一个ppt中,SpyCloud表示,这些数据可以用来“揭露特定的罪犯及其角色”,包括“罪犯定位”。
利用泄露数据进行关联分析定位犯罪分子
恩德勒说:“我们提供给执法部门的数据往往已经在罪犯手中,在我们看来,这些数据往往已经是公开的了。”
不过实际上只有一些被广泛购买传播的数据才能被认为是公开的,但其他的数据就不那么容易获得了。因为数据交易网站经常要求用户为数据集付费或为访问论坛付费,或者实行邀请制注册。
考虑到这一点,恩德勒说,SpyCloud有一个情报团队,其工作包括“深入数据交易论坛,行走在黑暗的边缘”,以获取数据。恩德勒表示,SpyCloud还能破解密码;数据集通常只包含散列或用户密码的加密指纹。一旦密码被破解,调查人员就可以看到用户的真实密码是什么。
恩德勒说,该公司的执法客户包括一些联邦机构。在2018年发布的一份新闻稿中,司法部宣布了有关提供DDOS攻击服务网站的指控,并感谢SpyCloud提供的帮助。
凯文•麦特卡尔夫检察官和国家儿童保护工作小组,这是由执法部门和专业技术人员组成,专注于打击贩卖人口的工作小组。在一封发给我们的电子邮件中说,泄露的数据实际上并没有被广泛使用,我们使用这些数据造成的影响其实很小。但我们利用这些数据可以很有效地揪出犯罪分子。
简单来说,大多数时候,这些数据提供了一个线索,将一些我们以前获得的数据联系起来。在当今互联网高度发达的社会中,我们总会在网络上留下点什么,同样的犯罪分子也会。我们所要做的就是找到一些联系,把一个恶意账户和一个真实的人联系起来。他说,使用泄露数据来追踪罪犯应该被纳入法律,并且应该扩大我们能够使用的数据范围。
除了人口贩卖,SpyCloud的Endler补充说,金融犯罪也可能会使用这些数据进行追查。
从那以后,多家只向商业公司销售数据产品的公司也开始向执法部门销售数据。包括移民和海关执法部门在内的联邦机构已经购买了从智能手机应用收集的位置数据,而这些应用通常是由广告公司收集或购买的。
Pfefferkorn说,“以这种方式使用这些被泄露的数据在道德上是值得商榷的,但它显然很有吸引力”
原文地址:https://www.vice.com/en_us/article/3azvey/police-buying-hacked-data-spycloud