執法部門購買泄露數據來追蹤犯罪分子
黑客闖入網站,竊取數據,然后放在互聯網上銷售,其他的一些黑客或詐騙者則將其用于自己的目的。但是,泄露的數據現在有另一個大客戶:執法部門。
一些公司向政府機構出售這些被竊取數據的訪問權限,希望這些數據能產生調查線索,這些數據包括密碼、電子郵件地址、IP地址等。
(本文第一人稱為Motherboard網站)
我們獲得了一個名為SpyCloud的公司提供給潛在客戶的網絡研討會幻燈片。在該網絡研討會中,該公司聲稱,它將“授權來自全球執法機構和企業的調查人員更迅速、更有效地將惡意行為者繩之以法。”
我們的一名線人向我們分享了這些幻燈片,他擔心執法機構會購買這些被竊取的數據。我們也向SpyCloud公司確認了ppt的真實性。
SpyCloud聯合創始人兼首席產品官戴夫•恩德勒(Dave Endler)在電話中告訴Motherboard:“我們正在利用罪犯的數據來對付罪犯,或者至少這些數據在執法部門會被用于對付罪犯。”
購買泄露數據的法律問題
此次出售展示出被泄露數據的某種新用途,即通常與商業相關的數據也可以被執法部門重新利用。但這也提出了一個問題,即執法機構是否應該利用黑客竊取的信息。從SpyCloud購買數據,執法部門除了獲取到罪犯的數據之外,也會獲取到與犯罪不相關人員的數據,并且不需要相關法律程序就能夠獲取到用戶的數據。
斯坦福大學互聯網與社會中心(Stanford Center for Internet and Society)負責監控與網絡安全的副主任里安娜•普費弗科恩(Riana Pfefferkorn)在一封電子郵件中告訴我們:“執法部門可以通過購買的方式獲得大量賬戶信息,甚至密碼,而不需要通過任何法律程序,這令人不安。通常情況下,如果警方想知道,比如,什么IP地址與一個特定的在線賬戶有關,他們必須向服務提供商提供法律服務。通常來說這屬于法律程序的最后一環。”
她說:“雖然打擊犯罪聽起來是數據泄露的一種良性的應用,但令人不安的是,執法機構卻在用納稅人的錢來獲取納稅人的數據,這些泄露的數據本身就是一種對納稅人權益的損害”
SpyCloud公司
SpyCloud的主要業務是幫助賬號被黑的個人或組織,阻止他們的賬號被繼續非法利用。在它的網站上,任何人都可以用他們的電子郵件地址注冊,驗證他們的賬號是否被黑,另外還可以查看哪些數據泄露了他們的信息。在某種程度上,這是安全研究人員特洛伊•亨特(Troy Hunt)自己的數據泄露服務(Have I Been Pwned?)的商業版本。SpyCloud的不同之處在于,它的數據可以與Maltego等調查軟件捆綁在一起,從而更容易在不同信息之間建立關聯分析。
SpyCloud還為執法部門提供了這種數據訪問,即允許機構查找其他人被曝光的信息
在另一個ppt中,SpyCloud表示,這些數據可以用來“揭露特定的罪犯及其角色”,包括“罪犯定位”。
利用泄露數據進行關聯分析定位犯罪分子
恩德勒說:“我們提供給執法部門的數據往往已經在罪犯手中,在我們看來,這些數據往往已經是公開的了。”
不過實際上只有一些被廣泛購買傳播的數據才能被認為是公開的,但其他的數據就不那么容易獲得了。因為數據交易網站經常要求用戶為數據集付費或為訪問論壇付費,或者實行邀請制注冊。
考慮到這一點,恩德勒說,SpyCloud有一個情報團隊,其工作包括“深入數據交易論壇,行走在黑暗的邊緣”,以獲取數據。恩德勒表示,SpyCloud還能破解密碼;數據集通常只包含散列或用戶密碼的加密指紋。一旦密碼被破解,調查人員就可以看到用戶的真實密碼是什么。
恩德勒說,該公司的執法客戶包括一些聯邦機構。在2018年發布的一份新聞稿中,司法部宣布了有關提供DDOS攻擊服務網站的指控,并感謝SpyCloud提供的幫助。
凱文•麥特卡爾夫檢察官和國家兒童保護工作小組,這是由執法部門和專業技術人員組成,專注于打擊販賣人口的工作小組。在一封發給我們的電子郵件中說,泄露的數據實際上并沒有被廣泛使用,我們使用這些數據造成的影響其實很小。但我們利用這些數據可以很有效地揪出犯罪分子。
簡單來說,大多數時候,這些數據提供了一個線索,將一些我們以前獲得的數據聯系起來。在當今互聯網高度發達的社會中,我們總會在網絡上留下點什么,同樣的犯罪分子也會。我們所要做的就是找到一些聯系,把一個惡意賬戶和一個真實的人聯系起來。他說,使用泄露數據來追蹤罪犯應該被納入法律,并且應該擴大我們能夠使用的數據范圍。
除了人口販賣,SpyCloud的Endler補充說,金融犯罪也可能會使用這些數據進行追查。
從那以后,多家只向商業公司銷售數據產品的公司也開始向執法部門銷售數據。包括移民和海關執法部門在內的聯邦機構已經購買了從智能手機應用收集的位置數據,而這些應用通常是由廣告公司收集或購買的。
Pfefferkorn說,“以這種方式使用這些被泄露的數據在道德上是值得商榷的,但它顯然很有吸引力”
原文地址:https://www.vice.com/en_us/article/3azvey/police-buying-hacked-data-spycloud
