聯邦調查局本週發布了警告關於黑客可以利用妥協的政府和執法電子郵件帳戶,將所謂的欺詐性緊急數據請求(EDRS)提交給美國科技公司。 EDR允許黑客獲得私人用戶信息,例如電子郵件和電話號碼,並可能是其他個人和敏感信息。
緊急數據請求允許執法機構在危險危險的情況下從科技公司那裡獲取無需認證的用戶數據。通常,執法機構將這些請求提交了僅授權人員才能發送的隱含信託。
EDR通常是通過電子郵件或在線門戶發送的,僅要求發件人的電子郵件或憑據顯得合理,例如來自.gov電子郵件後綴。但是,與需要認股權證並需要正式審查的合法法律請求不同,EDR繞過這些保障措施,如果黑客可以訪問官方帳戶,則使其容易濫用。正如經常出現的黑客所證明的那樣,該系統很脆弱。
的確。針對政府和執法電子郵件地址以促進欺詐性EDR的黑客事件已成為一個重大的網絡安全威脅,聯邦調查局警告說,犯罪行為者已經能夠使用這些違規行為來利用這些漏洞在法律程序中利用漏洞,這些漏洞允許在緊急情況下在緊急情況下加快敏感數據的加速訪問時間,而無需在緊急情況下進行敏感的數據。這種策略尤其令人擔憂,因為EDR繞過了正常的司法監督程序,而是依靠技術公司和政府當局之間的信任來迅速提供在危機情況下的數據。
聯邦調查局截至2024年8月,它注意到“犯罪論壇上有關進行欺詐性緊急數據請求的提升”,並補充說:“網絡犯罪分子很可能使我們和外國政府的電子郵件地址獲得訪問權,並利用它們來向我們的基於美國的公司進行欺詐性的緊急數據請求,從而將客戶提供給客戶的個人信息,以進一步用於犯罪目的。”
聯邦調查局的諮詢警告說:“網絡犯罪分子很可能正在獲得妥協的美國和外國政府電子郵件地址,並利用它們向美國公司提出欺詐性的緊急數據請求,使客戶的個人信息以進一步用於犯罪目的使用。”
聯邦調查局說:“儘管其他威脅參與者(例如Lapsus $)先前使用了欺詐性緊急數據請求的概念,但有關緊急數據請求過程和銷售損害證書的犯罪論壇上發帖的提高導致了他們使用的使用。”
聯邦調查局(FBI)鼓勵組織在其諮詢的緩解部分中實施建議,以“減少提交欺詐性緊急數據請求的可能性和影響,以試圖獲得未經授權的個人身份信息(PII)的訪問權限。”
聯邦調查局說:“ 2023年初實施的增強密碼協議強調,密碼長度的要求增加,使用多因素授權(MFA)對於具有行政權利的用戶,針對網絡釣魚的策略控制和改進的基線監控共同努力減少破解密碼的成功嘗試,並使網絡更具彈性,對威脅行為者的最初入侵和持久性。 ”
蘋果,元和其他公司等公司依靠身份驗證流程進行執法聯繫,但可能無法實時獨立驗證每個請求。儘管對既定的關係和與執法部門的信任的依賴為假冒活動提供了開放,以進行欺詐活動。
尋求提交欺詐性EDR的黑客通常是從損害合法執法或政府電子郵件帳戶開始的,通過網絡釣魚來欺騙執法人員披露證書,然後可以用來登錄與EDRS相關的電子郵件帳戶。
較小的警察部門或政府辦公室可能已經過時了網絡安全慣例,使其容易受到證書盜竊,密碼重複使用問題或差的MFA慣例的影響。如果執法電子郵件是包括憑據或電子郵件地址的較大數據洩露的一部分,則黑客可能會嘗試使用這些憑據來訪問EDR門戶或執法系統。
在2022年,黑客成功地使用了被盜的執法電子郵件帳戶,將偽造的EDR發送給蘋果和元公司等主要公司,從而獲得了敏感的用戶數據,而無需保證。這些請求由於其起源於官方電子郵件帳戶而出現合法的要求,導致公司披露信息,包括用戶IP地址和其他數據,然後可以將其用於後續攻擊。
這些未經授權的EDR通常針對具有寶貴信息或槓桿作用的個人,例如軍事,情報以及其他政府官員,技術高管,記者甚至政治活動家。訪問IP地址或地理位置之類的數據還允許攻擊者跟踪,騷擾或勒索這些人,可能導致嚴重的隱私和安全風險。
使用妥協的執法帳戶提交欺詐性EDR具有深遠的影響。例如,當未經適當授權的情況下披露用戶數據時,它侵犯了隱私權,並且可能具有現實生活中的安全和保障影響,尤其是對於不良行為者針對的個人而言。隨著這些虐待行為變得越來越公開,執法公司與技術公司之間的信任可能會受到侵蝕,可能會減緩合法的EDR回應,並在真正的緊急情況下危害公共安全。
缺乏對EDR過程的監督突出了需要進行改革。執法機構在允許訪問漏洞的情況下受到審查,而技術公司面臨著收緊數據共享協議的壓力。作為回應,政府和技術公司都已經開始實施改革以確保EDR流程並防止未來的濫用。
一些科技公司為EDR引入了其他認證層,其中包括通過多個渠道驗證請求者的身份,例如直接回調以驗證了經過驗證的執法聯繫人,或利用需要更嚴格訪問控制的專用執法門戶。
科技公司還為EDR請求實施了更強大的跟踪機制,例如記錄IP地址,時間戳和上下文數據以發現異常。可以標記可疑請求,從而允許安全團隊在披露數據之前進行調查。
聯邦政府通過聯邦調查局和國土安全部(DHS)等機構提供網絡安全培訓和執法指南,以減少其係統中的脆弱性。這包括加強密碼策略,強制使用多因素身份驗證以及處理EDR協議的最佳實踐。
一些政府實體和倡導團體呼籲為EDRS進行正式的審計和問責流程。擬議的措施包括代理機構保留所有數據請求記錄的法律授權,並在懷疑虐待時允許獨立審查。
也有人呼籲立法更改以限制EDR的範圍或即使在緊急情況下也需要司法監督。隱私擁護者認為,即使在緊急情況下,這些更改也將保護用戶數據免於無正當程序訪問。
為了認識到這個問題,國土安全部建議執法機構針對處理或存儲與緊急數據請求有關的任何系統採用更強大的網絡安全度量。這包括隔離對電子郵件帳戶的訪問,增強端點安全性以及介紹強制性的常規網絡安全審核。
聯邦調查局在其諮詢中建議組織“審查並在需要時更新事件響應和溝通計劃,以列出組織如果受到網絡事件影響的組織將採取的措施。網絡安全格局正在不斷發展,網絡威脅越來越複雜。組織需要越來越複雜。組織需要使用策略來維持彎曲的方法來緩解風險。”
聯邦調查局建議實施共同行業的最佳實踐。
同時,為了防止欺詐性EDR,政府和技術公司都在考慮進行其他改革。一個提議的解決方案是政府運營的EDR請求中心。執法機構將向集中式系統提交請求,在該系統可以在將數據發送給科技公司之前驗證請求者的身份。這將創建一個可靠的監護鏈並允許審核。
此外,通過標準化協議,公司和執法部門可以採用一致的保障措施來彌合漏洞,使壞演員更難利用這一過程。
一些科技公司已經開始發布透明度報告,詳細說明了他們收到的EDR數量以及批准了多少。擴大這種做法可以幫助公眾了解問題的規模,並使實體對數據隱私標準負責。而且,由於如此眾多的不良行為者在國際上運作,因此政府也開始加強與全球執法機構的合作,以迅速追踪和抵消針對美國執法證書的外國參與者。
面對越來越複雜的網絡對手,EDR的濫用強調了數字緊急協議的脆弱性。隨著政府機構和科技公司試圖保護敏感數據並防止進一步的濫用,他們還必須平衡對緊急情況的快速響應的需求,並進行更強有力的驗證以防止欺詐性要求。持續的安全建議和改革提出了針對保護公共安全和用戶隱私的更安全和透明系統的軌跡。
