Hacker News 中文摘要

RSS订阅

冒充警察的黑客正诱骗大型科技公司泄露用户数据 -- Doxers posing as cops are tricking big tech firms into sharing people's data

原文链接 | HN讨论 | 2025-12-13 23:25:03

文章摘要

黑客冒充警方发送虚假数据请求,成功从Charter通信公司获取目标用户的个人信息。黑客组织成员称已从苹果、亚马逊等多家美国科技公司获取类似数据,并表示不关心信息被如何利用。受害者未回应置评请求,公司对犯罪分子冒充员工行为表示担忧。

文章总结

美国电信运营商Charter Communications法律响应运营中心的一位隐私专家在9月4日收到了一封紧急数据请求邮件,发件人显示为杰克逊维尔警局的Jason Corse警官。她仅用几分钟就回复了"目标对象"的姓名、家庭住址、电话号码和电子邮箱。

然而这封邮件实际并非来自Corse警官或杰克逊维尔警局任何人员,而是出自一个黑客组织成员之手。该组织向付费客户提供"人肉搜索即服务",专门窃取美国科技公司持有的高度敏感个人信息。

"全程只花了20分钟,"参与此次行动的黑客组织成员Exempt向WIRED透露。他声称其团队已成功从几乎所有美国主要科技公司(包括苹果和亚马逊)获取过类似信息,甚至包括极右翼网红聚集的视频平台Rumble等边缘网站。

Exempt向WIRED展示了Charter Communications发送给他们的受害者资料,并解释这名受害者是来自纽约的"游戏玩家"。当被问及是否担心所获信息被用于侵害目标对象时,Exempt表示:"我通常不在乎。"

杰克逊维尔警局媒体关系经理Christian Hancock对此回应:"听到犯罪分子以这种方式冒充警员令人深感忧虑,尤其是当他们冒用我们雇员身份时。"Charter Communications则拒绝置评。

这种诱骗企业交出信息用于骚扰、威胁受害者的手段已存在多年。但WIRED首次深入揭露了这类人肉搜索组织的运作模式,以及为何在多年警示后此类事件仍频发。

据Exempt自称,Charter事件只是其近年来约500次成功请求中的一例。为佐证说法,他向WIRED提供了多份文件记录,包括伪造的电子邮件请求截图、虚假传票、科技公司回复函,甚至还有与某公司执法响应团队核实请求的电话录音视频。更令人震惊的是,Exempt提供的证据显示,某现役执法警官(其拒绝透露具体信息)涉嫌与该组织合作,通过个人账户提交查询请求以获取分成。

评论总结

以下是评论内容的总结:

  1. 关于紧急数据请求(EDR)的质疑

    • 评论1提出疑问:公司如何决定是否执行EDR?是否有法律义务必须执行?
      "How do companies decide which EDRs to fulfill... Are companies ever even under the obligation to fulfill an EDR?"
    • 评论6、7建议:数据请求应通过法官签署的搜查令,并公开记录。
      "Like a search warrant... tell cops to get lost until they will produce it?"

  2. 社会工程攻击的漏洞

    • 评论2、5、12揭露:通过伪造信息(如域名、员工身份)或利用客服漏洞,黑客可轻易获取敏感数据。
      "We purchased jaxsheriff.us and spoofed our number... giving them no reason to doubt it."
      "You’d connect to a live chat... and ask a hypothetical... gradually get the name of the internal tool."
    • 评论8、12强调:欺骗手段高效且普遍,系统安全性被高估。
      "Art of deception in full effect... ALL of these systems are easier to break into."

  3. 制度缺陷与改进建议

    • 评论10、11指出:政府机构强制企业通过不安全渠道提供数据,且缺乏验证机制。
      "Government agencies force tech companies to provide details in an insecure way... starts the sanctions."
    • 评论3、5提到:类似漏洞长期存在(如9年前《黑客军团》中的案例),但未修复。
      "This same hack was mentioned in Mr. Robot nine years ago... we can’t fix this."

  4. 其他观点

    • 评论4提供绕过付费墙的存档链接。
    • 评论9警示数据隐私风险:"One day all your clouds will be public."

核心争议
- 支持严格审查:要求法官授权和公开记录(评论6、7)。
- 批评现状:社会工程暴露验证机制薄弱(评论2、5),政府与企业流程存在矛盾(评论10)。