中国国旗旁边一台笔记本电脑上显示的二进制代码
近日,与中共官方往来密切的上海安洵公司有大量资讯疑遭外泄。相关文件显示,网络黑客能把在国际社交平台X(前推特)上活跃的用户"落地",获取网民的个人信息。截至目前,多位使用X的大V已披露消息,有关注者被中国警方请去"喝茶"。那么,中国翻墙网民是否要担心自己的身份安全呢?
网上用户落到网下现实人安洵称做得到
长年为中共军方、公安与安全部门提供网安服务的“安洵信息”(i-Soon)近期疑遭外泄的文件,或许能提供点答案。
外泄的安洵公司文宣品宣称,该公司有能力查询推特帐号注册时用的手机号码与邮箱。(取自Github截图)
2月16日那个周末,大批疑似安洵内部文件被不知名人士上传至软体开发平台GitHub,当中包含工作对话、产品文宣、部分合约内容,以及被锁定的至少20个外国政府或机构列表。美联社日前引述两名安洵员工证实,文件确实源于该公司内部。
本台记者梳理上述外泄文件发现,安洵对外宣称能查到X用户注册邮箱、手机号等资讯,甚至能获取目标帐号内的私信内容,从而协助当局把网上用户“落到现实人”。其中,在一份2020年3月的对话记录中,一名客户向安洵员工提供某X用户帐号,约6个半小时后,安洵就查出该帐号注册电话与网民姓名,并向客户开出一年50万人民币价码。该公司不仅帮忙“落地” X用户资讯,若对方想获取网民私信内容,则可另购“功能模版”。
不过,这位安洵公司员工强调,用户“落地”非百发百中,常规成功率约20%至30%。客户核实后也回报,帐号确实是用该手机号码注册,但“号码已经换了几任机主,目前推的使用人不是这个”。
获取X用户资讯专家评估具可行性
致力于保护新闻自由的国际人权组织“无国界记者”(RSF)数位安全实验室IT安全专家贝森多福(Janik Besendorf)向本台记者分析,黑客要获取X用户资讯确实具可行性。
图为2023年7月31日智能手机屏幕上显示的X平台(以前称推特)标识。(法新社)
贝森多福指出,从他阅读的安洵文件翻译内容研判,安洵似乎是用钓鱼式攻击来取得帐户权限:“他们就是复制推特网址,制造一个特别网域,再发送email告诉用户基于安全理由,你必须重置密码。但这不是推特官方网站,而是黑客的网站,但看起来几乎一样。你输入密码后,他们就能拿到你密码,获取帐户完全权限。”
贝森多福接着说,获取帐户权限后,黑客就可能取得网民的手机号码,再以此查出用户身份。他表示,安洵提的“落地”成功率似乎合理,“因为钓鱼式攻击仅约10%至20%的人真的会点开连结,并输入密码”。
他还指出,黑客除此之外也能利用推特部分功能弱点来取得用户资讯,例如发掘联络人,过去就曾发生类似事件。他说:“若你允许推特APP获取你的通讯录,推特能用这些电话号码找到对应联络人,让你在推特上关注他们。另一个方式是翻阅所有可能号码,再询问推特某号码是否有对应帐户,也能反向查询,查出某推特帐户的号码。”
推特公司2020年2月曾对外揭露,该公司2019年底发现有心人士使用大批假帐号,利用推特应用程序编程接口(API),将帐户名称与手机号码媒合。推特调查发现,这些假帐号散布世界多地,但许多集中于伊朗、以色列与马来西亚,“部分IP位置可能与国家资助行为者有关”。
中国手机实名制被“落地”几率较高
旅居台湾的中国网路工程师佐拉接受本台访问时也表示,安洵宣称能查出X用户资讯的可信度“非常高”,因为手机在中国是实名制,在海外社媒平台使用中国手机的大概率会被落地。
佐拉提到2018年一起涉及推特中国籍员工的案件。当时,一名账号为@eddiex的推特前员工在网上披露,自己从美国回贵州老家探亲遭当地国安部门约谈,对方以“国家利益”为名,要求他写代码以监控推特信息,但被他拒绝。
佐拉说:“也就是说,这种中国国安的尝试肯定存在过,这是第一个;第二个是推特用户数据,就是用户名字、电话等基本资料肯定已经泄露了。因为在安洵大数据里面,它有提到可以对推特用户进行查询,可以落地。”
外泄文件显示,安洵员工为客户查询推特帐号@TGtadie用户资讯。(取自Github截图)
不过,佐拉认为,“落地”成功率若在20%到30%的话,证明安洵手上资料不是即时地从推特公司获取:“等于他们在推特公司可能只是盗取了一次,可能某个时间段以前所有用户的资料。但某个时间段之后的资料,它就查询不到”。佐拉也质疑,安洵宣称能窃取X用户私信内容有“吹牛”成分。他说:“它对外宣传文档是号称能获取到用户私信。但实际上,跟其他人聊天的时又说资讯没办法获取到,要用贴靠的方式才行。”
佐拉解释,“贴靠”基本上就是透过钓鱼攻击:“比如说,把自己人物设定成一个异议人士,或者是一个黄推(色情)用户,然后去私信、去沟通,想办法给他一个所谓取证链接,其实就是钓鱼链接。用这种方式去诱使对方上当受骗,去骗到他的帐号密码,骗到他给第三方应用授权,就能读取到他的私信。”
不想被“喝茶”网民应三招自保
不过,目前旅居美国的前微博审查员刘力朋认为,中国翻墙网民不用对此过度担心,因为当局或安洵监控异议人士的手段与策略“本身没有新东西,都已经是老生常谈”。
刘力朋接受本台访问时,传授网民翻墙使用推特要注意的3点安全常识:“你不能拿(中国)+86的手机来收推特验证码,不能拿QQ、网易邮箱去注册推特号,然后不能在墙内、墙外用同一个ID。”
刘力朋说,以上虽然是简单的道理,还是有很多人不懂、不明白。他举例,白纸运动时出现“大翻墙”运动,“但他们很多都是第一次翻墙,头一次注册推特号,所以肯定不懂会有这样的问题。”
贝森多福也教授中国网民3招自保措施,包括使用非实名手机号码注册推特、使用VPN或Tor浏览器来隐蔽IP位置,以及不要在推特上分享任何可能被用来辨识身份的信息或图片。
中国黑客“外包”公安、网安、军方各取所需
回过头来看,安洵究竟是间什么样的公司?
长年为中共军方、公安与安全部门提供网安服务的“安洵信息”(i-Soon)近期疑遭外泄的文件,或许能提供点答案。2010年成立的安洵总部位于上海,图为安洵成都分部。(美联社资料图片)
上述外泄文件显示,2010年成立的安洵总部位于上海,在成都、南京与昆明等地设有分部。该公司宣称拥有高级持续性威胁(APT)团队,能提供目标渗透、会战支撑与情报等服务,并具备远端控制Windows、Mac、iOS、Android等系统的能力。
此外相关外泄文件还显示,安洵的绝大部分客户似乎均为中国政府部门,举凡市级公安局、安全局、网安部门、甚至是人民解放军等都曾将网安工作外包给安洵。以一份名为《四川安洵合同账目》的外泄文件为例,该公司在2016年至2022年间达成的120笔合同中,至少6成的最终用户为政府部门,分布包括北京、海南、云南、浙江、宁夏、西藏等地。这份合约表显示,中国政府部门承包给安洵的项目价格介于1万至334万人民币,购买品项多元,其中常见邮箱攻击密取、推特落查等系统。例如,台州市公安局2021年11月就花费260万,添购推特落查、Telegram远端取证落查、自动化渗透测试平台、网站渗透服务等7项不同产品。
疑似被泄露的四川安洵合同账目,当中多笔合同的最终用户为中国政府部门。(取自Github截图)
安洵一分外流文件列出22地、79项海外目标,其中包括香港、台湾、韩国、缅甸、菲律宾、泰国、越南等。(取自Github截图)
针对攻击目标,除境内异议人士外,安洵外泄文件还显示该公司锁定国外政府部门、大学或通讯公司。一份安洵外流文件列出22地79项海外目标,其中包括香港、台湾、韩国、缅甸、菲律宾、泰国、越南、印度、印尼、柬埔寨、法国、土耳其等;黑客活动获取内容,包含台湾的建筑与道路数据、香港电信用户姓名与社会安全码、印度内政部办公室文件等。除此之外,上述外泄文件中的安洵内部聊天记录还显示,其他如北约、欧盟、英国等西方政府或组织也疑似该公司锁定的目标。
根据一分外流的公司高层对话记录,安洵高层陈诚(代号lengmo)2020年与总裁吴海波(代号Shutd0wn)谈话时,就曾自豪安洵触角远播。陈诚指出,安洵培训标语要能体现公司“格局”,“我们毕竟是做全国的嘛,没写全球就算低调的了。”
政府资助黑客日益常见安洵仅冰山一角
针对安洵外泄文件内容,贝森多福坦诚,其实他并不意外。他说:“这是我们常常见到的,与我们预期中国、俄罗斯、伊朗(黑客)行为者会做的事一样。很不幸地,现在这个非常、非常常见,所以我并不意外。”
佐拉也认为,网安外包已成趋势,主要是政府雇员多受IT能力与官僚条框限制,但私营黑客组织相对非常有经验,就能够成为被政府资助的攻击执行者。
佐拉指出:“网路攻击基本上都是由政府买单而已,但不是他们亲自去执行。我相信,世界上大部分攻击都是由私营公司来做的。”他认为,安洵只是中国庞大外包黑客网络的“冰山一角、众多承包商之一”。
但他认为,如安洵这类公司肯定会自我吹嘘以获得政府订单,但实际能力不一定如此。
记者:徐薇婷责编:何平网编:瑞哲
