News · 7 min read

哎呀,我发现了爱泼斯坦档案:一周的数字乱局与FBI的重大失误

FBI意外泄露爱泼斯坦敏感档案,隐私应用暴露用户秘密习惯,俄罗斯黑客瞄准Signal用户。本周网络安全失误全解析。

Reading in Chinese (Simplified)
By Daniel Benson 7 min
哎呀,我发现了爱泼斯坦档案:一周的数字乱局与FBI的重大失误

互联网集体崩溃的一周

如果你觉得这周过得很糟糕,因为忘带了特易购会员卡或者在大雨中错过了公交车,那请想想FBI的IT部门吧。事实证明,这个世界上最著名的调查机构在数字安全方面的表现,就像一扇用半截香肠卷撑着的前门。在一系列更像低成本情景喜剧而非高风险惊悚片的事件中,一位安全研究员偶然发现了现代史上最敏感的文件之一:杰弗里·爱泼斯坦的档案。

我们生活在一个被不断告诫要使用复杂密码、启用双重验证、警惕来自陌生人可疑邮件的时代。然而,那些肩负维护秩序职责的机构,似乎连最基本的安全工作都做不好。这一周堪称一场网络安全反面教材,从政府失误到出卖用户隐私的应用程序,无所不有。让我们一起深入这片混乱,如何?

FBI的"大门敞开"政策

这场数字闹剧的主角,是一位网名为Lassi的安全研究员。他在探索执法企业门户(LEEP)——一个名字听起来比实际上高大上得多的平台——时,发现自己根本不需要什么万能钥匙就能访问大量信息。这不是什么《碟中谍》式的激光网格盗窃行动,而更像是点击了几个正确的链接,然后发现虚拟围栏上有一个大得可以让人穿过的漏洞。

在那堆数字文件中,赫然包含了与杰弗里·爱泼斯坦相关的档案。对于一直与世隔绝的人来说,爱泼斯坦是一位已故金融家,他的关系网名单读起来像一份"名人录",而榜上有名的人无不希望自己的名字从未出现在任何名单上。这些文件基本上被遗忘在虚拟走廊里一个没上锁的文件柜中,实在令人震惊。FBI事后已堵上了这个漏洞,但他们在技术能力方面的声誉恐怕已经永久受损。这引发了一个严肃的问题:如果FBI都无法保护最高级别的证据,我们其余的人还有什么希望?

从英国的角度来看,这尤其令人恼火。我们常常将美国机构视为情报和安全领域的黄金标准。如果他们如此松懈,不禁让人对我们自己国内的数据库状况心生疑虑。在生活成本危机已让英国民众捉襟见肘之际,我们根本承受不起因大规模数据泄露导致的身份盗窃和金融欺诈的后果。我们需要掌权者做得更好。

那个"知道太多"的应用程序

如果说FBI的失误是国家层面的尴尬,那么下一则故事则是深刻的个人背叛。有一款名为Victory的应用程序,旨在帮助人们戒除观看色情内容的习惯。它是一套工具中的一部分,包括问责伙伴和进度追踪功能。这是那种人们在最脆弱的时候使用的应用,寻求在生活中做出积极改变。遗憾的是,这款应用的安全防护比一个湿纸袋还不堪一击。

研究人员发现,该应用正在泄露数十万用户的高度敏感习惯数据。我们谈论的是那种可被用于勒索或造成极大社会困窘的数据。其中的讽刺意味浓厚得令人窒息:一款本该为自我提升提供安全空间的应用,最终将用户暴露在他们本想极力避免的风险之下。这是一个严峻的提醒:当你把最私密的数据交给一款应用程序时,你是在做出巨大的信任飞跃。

免费(和付费)软件的真实代价

在英国,我们有严格的GDPR法规,理应保护我们免受此类麻烦的侵害。然而,在海外开发的应用程序往往遵循不同的规则,甚至根本没有规则可言。Victory的数据泄露事件提醒我们,隐私不仅仅是一项功能,它是一项基本权利。当一家公司未能保护这一权利时,不仅是商业上的失败,更是对基本人类尊严的辜负。对于任何使用"自助类"应用程序的人,建议很明确:检查应用权限,阅读隐私政策,如果看起来可疑,那它很可能确实有问题。

Signal遭围攻:俄罗斯的介入

从个人习惯转向国际间谍活动,俄罗斯黑客正在针对Signal账户发动攻击。Signal长期以来是隐私领域的宠儿,从爱德华·斯诺登到你那住在法拉第笼里的科技达人表亲,人人都在推荐它。它采用端对端加密,意味着连公司本身都无法读取你的消息。但黑客们找到了绕过加密的方法——他们把目标对准了用户本身。

一个名为Sandworm(专家称之为APT44)的组织一直在使用巧妙的社会工程学手段,诱骗用户将自己的Signal账户链接到黑客控制的桌面版本。一旦建立了这种链接,他们就能实时查看你发送和接收的每一条消息。这是一种聪明得令人恐惧的绕道方式。他们没有破锁,而是诱骗你亲手交出了备用钥匙。

对英国而言,这是一个及时的提醒:任何安全系统中最大的弱点,通常是使用它的那个人。我们可以拥有世界上最好的加密技术,但如果我们轻易被精心设计的消息或虚假登录界面所欺骗,一切都将功亏一篑。俄罗斯人在下一盘大棋,而且棋艺高超。我们需要同样保持敏锐。

最终裁决:一团糟的现状

这一周的数字灾难给了我们什么教训?首先,FBI需要聘请一些更出色的网页开发人员。其次,你那些"私密"应用可能根本一点都不私密。第三,即便是最安全的平台,也难逃一个聪明把戏的攻击。这实在令人沮丧,尤其是在我们已经面对经济低迷和日益动荡的世界的当下。

现代科技的优点:我们唾手可得全球信息,可以随时随地与任何人即时通讯。

现代科技的缺点:那些信息可能包含FBI的爱泼斯坦档案,而你的通讯内容可能正被莫斯科某位无聊的特工阅读,与此同时你的"戒断"应用正在向全世界播报你周二晚上的习惯。

有没有一线希望?也许有。这些事件是一记警钟。它们提醒我们要保持怀疑,保持谨慎,永远不要以为"安全"就意味着"安全无虞"。如果你在使用Signal,请检查你的已链接设备。如果你在使用自助类应用,也许可以考虑改用纸质日记本。而如果你是FBI,也许试着把门户关了再重新打开——或者就老老实实给它设一个正经密码。

在科技世界里,如果把隐私成本也算进去,如今的性价比可以说跌至历史最低点。我们为各种设备和服务付出代价,而它们却常常把我们的数据当作可交易的商品,或干脆视之为可忽视的麻烦。是时候要求更好的了。在那之前,请保重,密码设长点,看在老天的份上,别再点击那些你不认识的链接了。

阅读原始文章,请访问 来源

D
Written by

Daniel Benson

Writer, editor, and the entire staff of SignalDaily. Spent years in tech before deciding the news needed fewer press releases and more straight talk. Covers AI, technology, sport and world events — always with context, sometimes with sarcasm. No ads, no paywalls, no patience for clickbait. Based in the UK.