美參議員關注黑客利用警察的電子郵件賬戶竊取用戶數據一事
美國參議院議員開始注意到關於黑客偽造”緊急數據請求”以獲取蘋果等科技公司數據的報導,其中一位開始調查隱私問題。3月29日,一份報告顯示,黑客正在利用其所俘獲的政府和警察電子郵件賬戶,使他們能夠假裝成執法官員。通過使用電子郵件賬戶和連接服務,黑客能夠在某些情況下向科技公司索取數據。
具體來說,黑客們濫用了”緊急數據請求”(EDRs),聲稱存在迫在眉睫的傷害或死亡威脅而要求提供數據。EDRs可以向執法部門緊急提供數據,而不需要法院的搜查令或傳票。
然而,由於不可能迅速驗證EDR的合法性,黑客們看到了這種技術的成功。
在最初的報告和彭博社3月30日的後續確認中,確認蘋果公司遵守了一些要求,這個問題已經引起了立法者的注意。
參議員Ron Wyden在周四給KrebsOnSecurity的一份聲明中說,這個問題是”對美國人的安全和國家安全的一個巨大威脅”。威登還對一些EDR”可能來自被破壞的外國執法機構,然後被用來針對脆弱的個人”的前景表示擔憂。
威登說,他正在要求科技公司和聯邦機構提供信息,以了解更多關於這個問題的情況。參議員說:”沒有人希望科技公司在某人的安全受到威脅時拒絕合法的緊急請求,但目前的系統有明顯的弱點,需要加以解決。”
這並不是Wyden第一次研究法庭命令時的認證問題。2021年7月,Wyden和其他參議員提出了《法院命令數字認證法案》,該法案要求向各州和部落法院提供一筆資金,以幫助他們採用數字簽名技術,從而有可能減少偽造的法院命令。
由於目前的EDR是通過被破壞的合法電子郵件賬戶發送的,沒有真正的方法來確認身份,因此,執法部門採用類似的數字簽名系統來達到類似的效果現在看是有必要的。