“黑客帝國”再次被揪住了狐貍尾巴。頗具諷刺意味的是,這一次是美國的盟國---荷蘭公開了為美國情報機構服務的黑客信息。荷蘭《新鹿特丹商業報》2021年11月10日發布披露稱,為獲取中東外交人員以及其他人員的重要信息,2016年美國情報機構指使黑客攻擊了總部位于荷蘭的旅游電子商務公司---繽客(Booking.com)酒店預訂網站,竊取了中東國家數千家酒店的客戶數據、旅行計劃和用戶個人信息。在美國私人調查員的協助下,繽客公司的網絡安全人員在兩個月后終于確定了攻擊者是一個名為安德魯的美國人,此人在一家具有美國情報機構背景的私營安全公司工作。然而,這起惡意攻擊事件卻因為荷蘭情報部門---荷蘭情報與安全總局(AIVD)由于種種不可言說的原因反應冷淡而最終不了了之。
網絡安全人員懷疑針對繽客公司的攻擊由國家背景APT組織發起
繽客是世界上最大的預訂平臺,成立已有25年,擁有2800萬個住宿單位可提供給客戶。荷蘭媒體新鹿特丹商業報(NRC Handelsblad)近日刊文稱,在最近出版的《De Machine》(《機器》)一書中,荷蘭官方報紙NRC的三名記者描述了美國的間諜行為。
2016年初,繽客網站的一名網絡安全人員在檢查該公司用于網站設計的一臺舊服務器時發現了疑點---這臺服務器本應該在使用完畢后被徹底清理,但它不但沒有被清理,還被一名黑客用作滲透該公司內部網絡并竊取大量酒店預訂信息的秘密跳板。作為全球最大的酒店預訂網站,繽客網站的安全團隊需要時刻準備著應對那些試圖入侵該公司服務器并竊取其數百萬客戶信息的網絡罪犯,這些信息可能包括客戶姓名、聯系方式、旅游計劃、信用卡支付信息等敏感數據。通常情況下,這些攻擊者的目的是獲取金錢,例如2014年就曾有網絡犯罪分子通過操縱呼叫中心向繽客網站用戶撥打電話,并在騙取客戶預訂信息后進行詐騙。然而2016年的這一次攻擊卻有所不同,繽客網站大量的客戶酒店訂單數據被不知名黑客竊取,但這些高價值的數據之后卻并未像往常那樣被拿到暗網上交易,同時也沒有任何使用繽客網站服務的客戶投訴稱自己的數據被盜---顯然,攻擊者感興趣的根本不是客戶的信用卡信息。在繽客網站的安全團隊補好網絡漏洞并展開調查后,他們得出了一個重要的結論:實施這次網絡攻擊的可能不是普通黑客,而是某個國家的情報機構。
繽客網站在此之前并未遇到過外國情報機構這樣的對手,該公司管理層心照不宣的共識是:雖然懷疑他國情報機構在監視該網站的運作,但只要這類活動不被他們看到,就當沒事發生。但這次不一樣,繽客網站的安全團隊已捕捉到了一個疑似間諜的匿名黑客在該公司網絡中活動,基于這個原因,他們啟動了為期兩個月的秘密調查。為避免調查活動驚動目標,由四名網絡安全專家組成的調查小組將調查所得的所有數據都拷貝到移動硬盤上或打印為紙質資料,并鎖在一個只有用特制鑰匙才能打開的保險柜中。
2016年3月,這個調查小組請來了荷蘭情報部門---荷蘭情報與安全總局的兩名網絡安全專家。在繽客公司阿姆斯特丹總部的一個拉上窗簾的房間里,調查小組向荷蘭情報與安全總局的網絡安全專家展示了該名黑客正在尋找的數據:客戶在沙特阿拉伯、卡塔爾、阿聯酋等中東國家的酒店訂單。他們還整理了一份黑客入侵繽客網站時使用的IP地址清單,他們想了解荷蘭情報部門是否掌握這些IP地址的情況,以及這名黑客到底來自哪個國家,目的何在。然而荷蘭情報與安全總局的兩名網絡安全專家對繽客網站調查小組提供的情況反應冷淡,他們表示,他們認識全世界間諜界的“大佬”,但這些情況對繽客網站調查小組“毫無意義”。但網絡安全專家提出可以把繽客網站調查小組掌握的數據帶回去進行分析,其中一個專家還拿出了一個新買的移動硬盤——歐洲大型電商平臺MediaMarkt的價格標簽都還沒有撕掉。
鎖定為美國情報機構工作的黑客
這個意外結果讓繽客網站調查小組的成員們感到非常泄氣。之后,他們轉而向荷蘭網絡安全公司Fox-IT的母公司---英國網絡安全公司NCC集團求助,后者給出的建議是讓他們咨詢一家在美國情報界具有廣泛人脈的美國私家偵探公司---佛羅里達州阿克曼公司(Ackerman),這家公司以解決跨國公司人員安全及網絡安全問題而著稱,其雇員包括前美國海軍特種部隊成員以及中情局特工。繽客網站的調查小組又用了數周時間尋找這名黑客的蛛絲馬跡,終于發現了該黑客犯下的一個嚴重錯誤:他在工作場所和家中使用同一個手機瀏覽繽客網站,并用這個手機在該網站上預訂酒店。取證人員還獲取了這名黑客的駕照信息等個人信息。通過綜合所有的數據,繽客網站的調查小組獲得了這名黑客的真實身份:安德魯,家住美國東海岸,就職于一家為美國某情報機構工作的私營安全公司。英國NCC集團告知繽客網站調查小組稱,安德魯的工作地點是美國情報界的一個重要網絡節點。安德魯進入了繽客在中東地區(包括沙特阿拉伯、卡塔爾和阿拉伯聯合酋長國等國家)的數千家酒店預訂系統,獲取了包括外交官在內的繽客客戶的姓名、旅行計劃等個人信息。
荷蘭情報部門和繽客公司管理層對調查結果反應冷淡
綜合各種證據,繽客網站的調查小組已確信該網站是被為美國情報機構工作的黑客攻擊。盡管繽客網站的安全團隊因為他們的發現而十分興奮,但荷蘭情報部門和該公司管理層的反應卻很冷淡。荷蘭情報與安全總局認為繽客網站調查小組得出的結論是“非常想當然的”,而該公司的管理層則認為既然沒有客戶信用卡信息被盜,那么這個事件對該網站用戶來說是“低風險的”。據悉,在調查過程中發揮重要作用的繽客網站安全人員在事件結束之后不久就辭去工作,因為他拒絕在一家這樣的公司工作,他認為這是“與魔鬼做交易”。
繽客公司沒有通知客戶數據泄露事件
繽客公司雖然將這次黑客攻擊事件告知了荷蘭情報部門請求其幫助調查,但卻沒有通知受影響的客戶或荷蘭數據保護局(AP)。繽客公司管理層稱,根據相關律師事務所的建議,當時沒有法律要求該公司這樣做。據相關人士透露,繽客公司網絡專家對管理層對數據泄露保持沉默的決定感到不滿。根據當時適用的隱私法,當有關的數據泄露可能會對個人私人生活產生不利影響時,涉事公司必須通知受影響的當事人。根據萊頓大學法律和數字技術教授Gerrit-Jan Zwenne的說法,繽客公司不能假設相關人員不會受到間諜活動的影響,這些被竊取的信息可以用來將受害者列入禁飛名單,禁止他們進入特定國家或對他們進行竊聽。
酒店住客是西方情報機關的重要攻擊目標
美國情報界大肆監聽監控全球政要,就算盟友也不放過。早在2013年,美國前防務承包商雇員愛德華·斯諾登就揭露了美國情報部門廣泛監聽國內外電話及互聯網通信的行為。今年5月,美國國家安全局被曝利于2012年和2014年,通過丹麥的信息電纜監視瑞典、挪威、法國和德國的高級官員,被監視對象還包括德國前總理默克爾。
美國等西方情報機構對于酒店預訂網站的數據感興趣并不奇怪,因為繽客等酒店預訂網站知道用戶在何時住在何處,比如公司高管及外交官們在哪里,有誰正在前往可疑的國家或地區。愛德華。斯諾登在2013年已向全世界展示了美國國安局(NSA)對于掌握全球數據的欲望有多么強烈,英國情報機構政府通信總部(GCHQ)也慣于以“英國皇家禮賓部”為掩護身份,通過酒店預訂網站監控外國政府官員和外交官們的旅行動向,之后再在其目標人物所居住的酒店房間內安裝竊聽裝置或派人到酒店餐廳酒吧偷聽目標人物的交談。韓國政府支持的Darkhotel(黑店)APT組織通過控制酒店內部的WiFi網絡,有選擇地攻擊企業高管、政府機構、國防工業等重要人員,攻擊目標包括中國、朝鮮、日本俄羅斯等國家。
