• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:288

據報導，Securus遭受網路攻擊導致資料外洩，未知駭客成功竊取2,800名用戶的登錄憑證，其中包括用戶名、電子郵件、脆弱的雜湊密碼(使用安全係數很低的MD5演算法)、電話號碼等。

Securus電話定位服務主要從AT＆T，Sprint，T-Mobile和Verizon等電信公司獲得手機位置數據，然後將其提供給客戶，也幫助執法機構監控美國的大部分手機，主要透過使用能存取其位置API的Web界面，Securus能夠即時成功訪問行動通信基地台。即可透過這些記錄獲取手機資料以用來跟蹤。

Motherboard的Joseph Cox與駭客聯繫，並在網站互享了一些樣本資料。據稱一個從「警察」資料庫獲取的電子表格，這些資料經Cox測試證實是合法的，目前還不清楚向Motherboard提供資料的駭客是否破解了所有密碼，也不清楚Securus本身是如何存儲這些密碼的。

此外, 對失竊資料的快速分析(如以忘記密碼功能來驗證資料)顯示, 它包含2011年前的資訊, 而受影響的客戶包括印弟安納波里斯、費尼克斯和明尼阿波利斯的城市員警和治安部門。

Electronic Frontier Foundation的律師Andrew Crocker在電話採訪中告訴Motherboard：「Securus無需許可證即可進行定位追蹤，並允許其用戶在未經審查的情況下獲取此服務。這是一個問題。如果一個系統不對使用監控權的用戶進行設限，那麼它講成為一個雙重問題。」

參考連結：

https://www.hackread.com/securus-cops-track-cellphone-users-has-been-hacked/
https://krebsonsecurity.com/2018/05/tracking-firm-locationsmart-leaked-location-data-for-customers-of-all-major-u-s-mobile-carriers-in-real-time-via-its-web-site/
https://www.xcnnews.com/kj/3754568.html