美征信巨头Equifax被黑事件之谜:1.4亿人数据人间蒸发
[ 摘要 ]熟悉此案的专家现在认为,窃贼是在为其他国家工作,他们并不是为了经济利益而使用这些信息,而是试图寻找和招募间谍。
埃奎法克斯公司首席执行官理查德·史密斯
腾讯科技讯 据国外媒体报道,2017年7月7日,美国征信巨头埃奎法克斯(Equifax)发布了一项令人震惊的消息:在一次胆大妄为的网络攻击中,有黑客窃取了1.4亿多人的敏感个人信息,这一数字几乎占美国人口的一半。
这是十年来最严重的消费者数据泄露丑闻。这些丢失的信息包括消费者的社会安全号码、驾驶执照号码、信用纠纷信息和其他个人详细信息。埃奎法克斯公司首席执行官理查德·史密斯(Richard Smith)在成为众矢之的后辞职。美国立法机构修改了信用冻结法,并对信用评级机构进行了新的监管。
然后,一些不寻常的事情发生了。被丢失的数据完完全全从人间蒸发了。
美国财经媒体CNBC采访了8名专家,其中包括在黑暗网络世界中搜索被盗信息的数据“猎人”、高级网络安全经理、金融机构的高管、参与调查的高级情报官员,以及帮助支持调查的顾问。他们都认为围绕埃奎法克斯,已经发生了一起十分严重的泄密事件,导致1.43亿人的个人信息被盗。
但他们谁也不知道数据现在哪里。它从来没有出现在任何销售被盗信息的地下网站(全世界有几百个)上。安全专家还没有以他们所预测的方式看到这些被盗走的数据被使用,比如冒充受害者的身份,或是用来访问其他网站。
但随着调查的继续,人们形成了一种共识,以解释为什么这些数据已经从视线中消失了。大多数熟悉此案的专家现在认为,这些窃贼是在为其他国家工作,他们并不是为了经济利益而使用这些信息,而是试图寻找和招募间谍。
一个数据猎人潜入
在一家全球顶级银行工作的的网络安全分析师杰弗里(Jeffrey)对埃奎法克斯公司丢失的数据痴迷了17个月。对他来说,它几乎成了一种职业上的“亚特兰蒂斯城”或圣杯。
杰弗里不是分析师的真名。他要求匿名,因为他无权对媒体讲话。他还要求对他工作的银行保持匿名,因为他是某一特定类型员工中的一员,甚至连他银行名字都可以用来确认他的身份。
杰弗里是银行“猎头团队”的“猎手”,他的工作是在黑暗网络或暗网上搜索数据(暗网是一组只能通过保护用户匿名的特殊软件访问的网站)。黑网可以用于许多目的,但最突出的是作为互联网的地下黑市,在那里犯罪分子买卖和交易信用卡数据、个人信息和犯罪服务。
杰弗里在黑暗网络上搜索被盗的个人数据,这些数据看起来可能是全新的,特别是如果它看起来像是属于银行或其竞争对手客户的话。他经常是第一个知道另一家公司被入侵的人之一,他的团队也经常是第一个通知网络攻击事件受害者的业者之一。
因此,当杰弗里了解到埃奎法克斯公司的网络攻击事件时,他和其他人一样感到很惊讶。
他解释说,被盗的消费者信息通常在黑客攻击后立即被出售。犯罪分子追求的是速度,这样他们就能在被攻击公司发现数据被盗之前卖掉这些数据。
他们等待的时间越长,受害者和公司机构就越有可能做出调整,使数据变得毫无价值。信用卡号码尤其如此,一旦出现欺诈性收费,信用卡号码很快就会被注销。另外,当社会保障号被盗后,也会被做出特殊标记。
埃奎法克斯公司表示,它在7月份首次发现了这起袭击,但实际攻击可能更早就开始了。杰弗里说,他偶尔会看到信用报告机构、其他银行和机构(如抵押贷款服务商)被盗数据出售,但他从未在任何犯罪论坛上看到过任何看起来像来自埃奎法克斯的用户数据。
“我当然认为这些数据是被犯罪分子窃取的。即使背后有[一个国家],这是非常有价值的东西,罪犯和国家的东西可能真的是混合在一起的。或者,一个国家会为了留住面子而处理掉数据”。杰弗里回忆当时的想法时说:“这个级别的数据比大多数数据都值钱。”
杰弗里的数据猎人工作最近才开始,但他相信他会找到一些关于埃奎法克斯的信息。他在工作时打猎,在家里打猎。他问他的朋友,他向网上认识的所有人打听消息。
他没有任何进展。不过,杰弗里并不孤单。
“我们一直在与当局——联邦当局、州当局——以及我们的合作伙伴和客户,以及我们自己的非常先进的威胁情报团队密切合作,”埃奎法克斯公司首席信息安全官贾米尔·法什基(Jamil Farshchi)告诉媒体称。
他表示:“我们在努力确保能够始终如一地确定这些数据是否存在,以及是否曾经存在过。而到目前为止,绝对没有任何迹象表明这些数据已经被披露,已经被使用,或者已经被提供出售。”
两种猜测
2017年9月,对这次黑客攻击事件的调查刚开始时,利益攸关方就有了很多关于谁窃取数据及其原因的理论。这些猜测最终分为两个方面。
杰弗里曾在执法部门工作,他倾向于把世界看成是罪犯与警察的较量。像其他大多数有这种背景的人一样,他认为这些数据是被犯罪分子窃取的,不会出现在黑暗网络上出售,因为黑客担心数据太热,执法部门会立即抓住他们,就像偷“蒙娜丽莎”的小偷一样。
另一种猜想受到有情报背景的调查人员的青睐,主要针对为外国国家工作的情报官员。
随着几项独立调查的结束,跟踪此案的专家达成了一种普遍的共识(在上述两种猜想中间)。
据分析,这次入侵可能是由一名低级别罪犯发起的,他利用了埃奎法克斯防御系统中的一个漏洞,但没有足够的经验或能力通过在整个公司内进一步行动来造成更大的损害。这名罪犯随后通过其他罪犯在地下网络寻求帮助,并分享或出售有关该漏洞的信息。
数据买家使用了更为复杂的工具和技术,更深入地侵入了埃奎法克斯的数据库,并泄露了如今臭名昭著的消费信贷信息(消费信贷信息现在臭名昭著)。
一位对埃奎法克斯调查有直接了解的前高级情报官员总结了有关外国情报机构如何使用这些数据的普遍专家意见。(这位人士要求匿名发言,因为他目前的角色没有被授权对媒体讲话)。
他说,首先,海外国家可能将这些信息与其他窃取的数据相结合,然后利用人工智能或机器学习进行分析,以确定谁可能成为间谍。他指出,其他数据泄露的重点是可能对识别间谍有用的信息,比如2015年对美国人事管理办公室(Office Of Personal Management)的入侵,该办公室为美国政府官员处理冗长的安全审查申请。
其次,信用报告数据提供有害信息,可以用来将有价值的人变成外国代理人,或者将较低级别的雇员作为数据窃贼或线人。这位前官员表示,这些信用信息可以用来识别那些在关键职位上有严重财务问题、可能因贿赂或高薪工作而受到损害的人。经济困难是人们从事间谍活动的最常见原因之一。
他说,埃奎法克斯的数据提供了一些信息,可以识别那些甚至还没有获得较大影响力的职位的人,这些信息在未来几年可能是很有价值的。
关于信贷冻结
如果这一主要猜想是正确的,那么唯一需要担心埃奎法克斯漏洞的人是那些身处敏感政府职位或拥有大量权限、影响力和权力的人:未来的参议员、海外中情局官员、监督美国企业数据中心的人,或者是科技公司的高级财务高管。
这些狂热的广告敦促消费者检查他们的数据是否被泄露,并采取许多措施冻结和监控数据,结果证明对这次泄露没有必要——至少到目前为止是没有必要的。
尽管如此,埃奎法克斯高管法什基说,信用冻结和监控服务仍然是确定个人数据是否被盗或身份被滥用的最佳方式。埃奎法克斯以外的专家早就同意这一点。
至于杰弗里,他说自己和他的许多同龄人将继续寻找数据,可能在他们自己的时间。他说,大约每周一次,他早早起床,喝杯咖啡,把目光放在他平时出没的黑暗网络上,脑子里想着埃奎法克斯。
杰弗里表示,自己知道情报机构可能掌握了这些被盗数据,他说他也在更频繁地阅读新闻。他寻找有关贿赂、贪污、间谍被抓或政客们突然滔滔不绝地为他们以前没有的敌对国家辩护的故事。
他通过加密的信息写道:“我想,十年后的某一天,我将会看到一些新闻来源,看到一些政客正试图与一些国家做一些疯狂的交易。我真的想知道:在经历了这么多时间之后,我是不是终于看到了埃奎法克斯公司的数据?”(腾讯科技审校/承曦)