鑽石舞台

美國聯邦、州或地方執法部門要想獲得與某位公民有關的社交賬號、電話號碼等私人信息，必須首先申請法庭執行令或傳票。但在某些特殊情形下——比如面臨重大傷害或死亡時，執法或調查部門會動用所謂的「緊急數據申請」（EDR）權限，在未經官方審批、也不需要提供任何法庭批准文書 的情況下獲取所需數據與信息。

正如前美國司法部檢察官馬克・拉什（Mark Rasch）所說，「我們建立有一種緊急程序，網絡服務提供商可以據此允許警察對數據進行緊急訪問。」但他同時也指出了「緊急數據申請」的致命漏洞——「『緊急數據申請』沒有一套有效的實用機制，供互聯網服務商或科技公司驗證法院搜查令或傳票的合法性。只要申請看上去像真的，他們就會配合。」

很顯然，一些網絡犯罪分子已意識到科技公司收到「緊急數據申請」後，並沒有快速便捷方法確認其合法性。所以他們找到了一種非常有效的方法，可以用來在未取得法庭授權的情況下從網絡服務商、電話公司以及社交媒體公司處「收割」敏感用戶數據，即通過非法侵入的警察部門郵件系統向科技公司發送虛假的「緊急數據申請」，要求對用戶數據進行未獲得法庭授權的訪問。同時附上一份證明書，證明如果科技公司不能立即提供所申請的數據信息，無辜的普通人就很可能遭受巨大痛苦甚至死亡。

幾乎所有擁有海量線上用戶的大型科技公司都設有專門部門負責審查和處理此類申請。事實上，只要提交了正式文件而且發出的網絡地址與現實中的警察部門相符，這些申請基本上都會得到批准。

在這樣的背景下，凡收到「緊急數據申請」的公司都會發現自己只能在兩種不光彩的結果中二選一：一是忽略「緊急數據申請」，但可能會因此造成傷亡事件；二是配合申請提供相應數據，但可能會有把客戶信息泄露給壞人的風險。

年輕犯罪團伙冒充執法部門，以發送虛假法庭傳票的方式隨心所欲地獲取目標特許數據，這種現象目前越來越常見。

數據勒索集團LAPSUS$的所作所為就是一個典型的例子。調查發現，該團伙已用這種方式對微軟、Okta、英偉達和沃達豐等全球知名企業進行過勒索。

LAPSUS$團伙利用虛假「緊急數據申請」謀財的時間可追溯至其前身，一名14歲英國少年（網絡名為「White」或「Everlynn」）建立的「Recursion Team」。Recursion Team曾於2021年4月5日在網絡犯罪論壇上發出「廣告貼」，稱可以獲得任何執法部門的數據並藉此向蘋果、谷歌、Snapchat等大型科技公司發出虛假搜查令或傳票等服務，「每次100至250美元。」

此前，該團伙還在另外一個廣告貼中宣稱擁有從阿根廷政府所轄機構內發送電子郵件的能力。

「有政府電子郵件系統出售，可用來向蘋果、優步、Instagram等公司發送（虛假）傳票郵件，」廣告還提醒潛在「客戶」，「此舉非法，如果不使用VPN可能會遭到追查。」

安全博客KrebsOnSecurity近日對專門非法曝光他人信息的Doxbin網站老闆、網名KT的知名黑客進行了連線採訪。後者認為，「緊急數據申請」已越來越成為黑客們追蹤、侵入、騷擾以及公開羞辱他人的常用手段。他指出，虛假的「緊急數據申請」通常會附帶有「某人生命正處於危險中」之類的緊急情況證明，不由得收到申請的科技公司不相信。

「暴力威脅再加上此類證明是很容易讓人信服的，」他說。

KT舉例稱，黑客今年年初曾瞄準了一名年僅18歲的青年人，希望從社交網站Discord處獲得他的個人信息。Discord網站於是收到了一份「緊急數據申請」，要求提供與目標用戶電話號碼相關聯的用戶賬號及其瀏覽記錄。網站毫不猶豫地予以配合。

「Discord只用了30分鐘至60分鐘就對『緊急數據申請』做出回應並提供了相關數據，」KT說。

Discord網站在接受採訪時辯解稱，當時那份「緊急數據申請」確實來自執法部門網站，但他們後來才得知該網站已被黑客入侵。「我們確信網站收到的申請來自執法部門使用的域名系統，因此根據規定予以配合，」 Discord網站在局面聲明中說。「按照規定，我們必須驗證此類申請的出處是否真實有效。我們這樣做了，而且確認發出申請的執法部門賬號是合規的。只是後來才知道該賬號已被惡意攻擊者利用。隨後我們對此事件發起調查並向執法部門做了通報。」

KT認為，虛假的「緊急數據申請」越來越難以防範，重要的原因之一是這些申請並非一定非得從真正的執法機構內部發出。專門從事虛假「緊急數據申請」發送服務的黑客一般會先侵入警察部門的網站，劫持其郵件系統並在服務器上留下可以永久進入的「後門」，然後在被劫持的系統內創建新賬號供自己使用。「這樣他們就可以在任意地方登陸警用郵件系統，向目標公司發出虛假『緊急數據申請』了。」另外，黑客還可以利用獲取的警用電子郵件系統密碼進行虛假「緊急數據申請」發送。KT說，黑客們首先會識別並進入執法部門人員使用的電子郵件地址，然後輸入已經竊取的密碼以矇混過關。

他還說，儘管目前政府部門或機構都很重視網絡安全問題，但漏洞依然存在。「現在已幾乎不可能在政府網站內留下『後門』，但有人確實仍然具備這種能力，」他說。「政府部門現在大多使用微軟的Outlook系統。該系統通常內嵌了多因素身份驗證，很難突破。但並非所有部門都使用Outlook，也並非所有Outlook系統都內嵌了多因素身份驗證。」

加利福尼亞大學伯克利分校網絡安全專家尼古拉斯·韋弗（Nicholas Weaver）認為，清除虛假「緊急數據申請」的難題之一，是沒有一個最基本的網上身份驗證系統。

「我所知道的解決之道，是讓聯邦調查局成為各州、各地方執法部門的唯一身份標識提供者，」韋弗說。「但這並不一定能解決問題。因為聯邦調查局也無法對某些緊急申請是否來自被入侵的警用系統進行實時調查。」

如果聽到韋弗的建議，聯邦調查局可能也會苦笑着搖頭——事實上，他們連自己的網站地址安全都保證不了。KrebsOnSecurity 曝出的一則新聞顯示，黑客曾於2021年11月利用聯邦調查局 「執法企業門戶」（LEEP）平台上存在的漏洞，向數千個州和地方執法機構發送了題為《緊急：系統中存在威脅行動者》（Urgent: Threat actor in systems）的虛假郵件。這些郵件的發送地址無一例外都顯示為真正的fbi.gov。

當KrebsOnSecurity網站問及聯邦調查局是否察覺到自己的辦公系統被黑客用來發送無授權「緊急數據申請」時，後者顧左右而言他，只聲稱本局已注意到有黑客利用其他部門的辦公系統向公共部門或私營公司發送虛假「緊急數據申請」。「我們以非常嚴肅的態度處置了此類報告，並不遺餘力地對報告事項進行了追蹤調查，」聯邦調查局在局面聲明中說。

前美國司法部檢察官馬克・拉什表示，網絡服務提供商除了需要一套嚴謹地合法申請審查機制，還需要知曉美國所有警官的名字才能有更大機率發現本公司收到的無授權「緊急數據申請」。

「現在的問題是，他們手裡沒有一份可信名單標明所有有權發出『緊急數據申請』的人員姓名，」拉什說。「而且即使有這樣一份名單，所列人員也是會經常變動的，總是會留下一些漏洞被黑客利用。整個系統的安全水平不會因這份名單的存在而比警官的個人郵箱安全多少。」

韋弗認為，阻止虛假「緊急數據申請」泛濫的可能手段之一，是讓網絡犯罪分子意識到發送虛假「緊急數據申請」是一件會付出高昂代價的事情。「發送虛假『緊急數據申請』並不需要高明的技術，只要你有這種意願就行。但如果讓發送者覺得被抓住以後會帶來很危險的後果，他們的意願也許就會消失。」

美國國會也在為消除虛假「緊急數據申請」而努力。2021年7月，美國參議院針對網絡詐騙分子和犯罪分子捏造的虛假法庭命令越來越多這一現象通過新法案，准許向州和地方法庭撥款，助其採用滿足國家標準和技術協會標準的數字簽名技術。

「假造的法庭命令一般會通過複製、粘貼法官簽名才能發揮作用，」一位參議員就新法案發表聲明時說。他指出，《法庭命令數字真實性法案》（Digital Authenticity for Court Orders Act）要求聯邦、州和地方法庭在簽署與監視授權、域名扣押和線上內容移除等內容相關的法庭命令時啟用數字簽名技術，以強化其防偽能力。