电话追踪公司Securus遭黑客攻击，数千名用户数据泄露、联邦调查局介入

原标题：电话追踪公司Securus遭黑客攻击，数千名用户数据泄露、联邦调查局介入

【猎云网（微信号：ilieyun）】5月17日报道（编译：Mayfly）

一名黑客入侵了Securus的服务器，该公司具有为执法部门提供追踪全国几乎所有电话的能力，美国参议员鼓励联邦当局调查这起案件。黑客获取的数据包括数千名Securus客户的用户名和安全性较差的密码。

虽然目前尚不清楚这些客户中有多少人正在使用Securus的电话定位服务，但这一消息仍然令人难以置信，作为向执法机构提供监管权的公司，其安全防护竟然如此脆弱。

约翰霍普金斯大学的战略研究教授Thomas Rid通过在线采访告诉Motherboard：“从对抗情报机构的角度来看，位置聚合器是黑客最有可能攻击的目标之一。

上周，纽约时报报道，Securus从AT＆T，Sprint，T-Mobile和Verizon等电信公司获得手机位置数据，然后将其提供给客户。该报告补充道，Securus获取数据的系统通常由营销商使用，但Securus向执法机构提供的电话追踪功能则几乎没有法律监督。根据法庭记录，在一起案件中，密西西比州一名前警长使用Securus服务跟踪其他执法官员的电话。

攻击Securus的黑客向Motherboard提供了几个内部公司文件。据称一个从“警察”数据库获取的电子表格包含了从2011年至今的2,800多个用户名、email地址、电话号码、哈希密码（hashed passwords）和安全问题。哈希（Hash）是对一段数据加密处理而形成的杂乱字符串，这意味着公司不需要自己存储密码。但哈希是使用安全系数很低的MD5算法创建的，这意味着攻击者在很多情况下可以破解用户的真实密码。事实上，一些密码似乎已被破解并包含在电子表格中。 目前还不清楚向Motherboard提供数据的黑客是否破解了所有密码，也不清楚Securus本身是如何存储这些密码的。

电子表格中的大多数用户来自美国政府机构，包括警局、县级或市级执法部门。受影响的城市包括明尼阿波利斯，凤凰城，印第安纳波利斯等等。这些数据还包括Securus员工以及使用个人电子邮件地址的用户，暂时不能确定他们是否隶属政府部门。

Motherboard通过使用Securus网站的忘记密码功能来验证数据。在输入垃圾邮件地址时，该网站显示输入错误。但是，使用黑客提供的用户名和电子邮件地址时，该网站将进入密码重置过程的下一阶段，由此可以确认这些用户名和密码的确来源于Securus的系统。

这些用户中有多少人可以使用Securus的手机定位服务并不清楚。但其他数据显示，许多用户可能在监狱工作：其中一些用户的角色被标记为“监狱管理员”、“监狱长”和“副监狱长”。在其网站上，Securus 将“定位服务”产品销售给监狱，以便工作人员掌握犯人在哪里打电话。

Securus网站表示：“即使在GPS关闭的情况下也能追踪移动设备，呼叫记录能提供呼叫始发和呼叫终止的地理位置数据。” 一些执法人员正在滥用此产品。

Electronic Frontier Foundation的律师Andrew Crocker在电话采访中告诉Motherboard：“Securus无需许可证即可进行定位追踪，并允许其用户在未经审查的情况下获取此服务。这是一个问题。如果一个系统不对使用监控权的用户进行设限，那么它讲成为一个双重问题。”简而言之，黑客获得Securus的用户列表和登录细节可能是特别的危险的。

黑客向Motherboard解释了他们是如何获得这些数据的，此次攻击并不复杂。此外，在2015年发生的Securus黑客攻击事件是The Intercept调查的基础，其中包括7000万名囚犯的电话。

但是，此次数据泄露并不是Securus安全系数低的唯一迹象。Rid 向Motherboard指出了一个可在线获取的Securus用户手册，其中一部分显示了Securus产品的地图和用户界面，但该手册似乎并未使用虚拟数据用于演示，而是包含一位女性的真实姓名、地址和电话号码。Motherboard确认了上述信息的真实性。

Rid告诉Motherboard ：“这个用户手册中的个人身份信息暴露引发了一个问题：Securus是否具有保护隐私信息的文化和程序？ 答案似乎是否定的。”

参议员Ron Wyden向主要电信公司和FCC发出信件，要求它们在纽约时报的文章发表之前提供更多关于Securus事件的信息。他告诉Motherboard：“如果这一事件是真实的，那么它再次表明Securus在网络安全方面非常失败，并且完全不顾国人的隐私。这一事件进一步证明，无线运营商和FCC需要加强并做更多的事情来确保国人的个人信息不会被出售给像Securus这样漠视网络安全的公司。”

Securus没有立即作出回应。

本文来自猎云网，如若转载，请注明出处：http://www.lieyunwang.com/archives/442141