海外發聲或被黑客"落地" 中國翻牆網民要擔心嗎?

2024.03.01 12:18 ET
海外發聲或被黑客"落地" 中國翻牆網民要擔心嗎? 中國國旗旁邊一臺筆記本電腦上顯示的二進制代碼
路透社圖片

近日,與中國官方往來密切的上海安洵公司有大量資訊疑遭外泄。相關文件顯示,網絡黑客能把在國際社交平臺X(前推特)上活躍的用戶"落地",獲取網民的個人信息。截至目前,多位使用X的大V已披露消息,有關注者被中國警方請去"喝茶"。那麼,中國翻牆網民是否要擔心自己的身份安全呢?

翻牆進入推特、追蹤大V們,是不少中國民衆獲取牆外未審查信息的途徑之一。但近日以來,@李老師不是你老師、前中國央視記者王志安@王局志安 、中國時事評論人士@五嶽散人等X平臺上著名的中國時事博主,接連傳出有關注者被中國警方請去 “喝茶”的消息,從而引發民間輿論寒蟬效應,導致這些大V“掉粉”。

恐慌之餘,類似事件讓人不禁要問:中國公安真的有能力、時間與精力清查這麼多翻牆網民的身份嗎?

網上用戶落到網下現實人 安洵稱做得到

長年爲中國軍方、公安與安全部門提供網安服務的 “安洵信息”(i-Soon)近期疑遭外泄的文件,或許能提供點答案。

外泄的安洵公司文宣品宣稱,該公司有能力查詢推特帳號註冊時用的手機號碼與郵箱。(取自Github截圖)
外泄的安洵公司文宣品宣稱,該公司有能力查詢推特帳號註冊時用的手機號碼與郵箱。(取自Github截圖)

2月16日那個週末,大批疑似安洵內部文件被不知名人士上傳至軟體開發平臺GitHub,當中包含工作對話、產品文宣、部分合約內容,以及被鎖定的至少20個外國政府或機構列表。美聯社日前引述兩名安洵員工證實,文件確實源於該公司內部。

本臺記者梳理上述外泄文件發現,安洵對外宣稱能查到X用戶註冊郵箱、手機號等資訊,甚至能獲取目標帳號內的私信內容,從而協助當局把網上用戶 “落到現實人” 。其中,在一份2020年3月的對話記錄中,一名客戶向安洵員工提供某X用戶帳號,約6個半小時後,安洵就查出該帳號註冊電話與網民姓名,並向客戶開出一年50萬人民幣價碼。該公司不僅幫忙 “落地” X用戶資訊,若對方想獲取網民私信內容,則可另購 “功能模版”。

不過,這位安洵公司員工強調,用戶“落地”非百發百中,常規成功率約20%至30%。客戶覈實後也回報,帳號確實是用該手機號碼註冊,但 “號碼已經換了幾任機主,目前推的使用人不是這個”。

獲取X用戶資訊 專家評估具可行性

致力於保護新聞自由的國際人權組織“無國界記者”(RSF)數位安全實驗室IT安全專家貝森多福(Janik Besendorf)向本臺記者分析,黑客要獲取X用戶資訊確實具可行性。

圖爲2023年7月31日智能手機屏幕上顯示的X平臺(以前稱推特)標識。(法新社)
圖爲2023年7月31日智能手機屏幕上顯示的X平臺(以前稱推特)標識。(法新社)

貝森多福指出,從他閱讀的安洵文件翻譯內容研判,安洵似乎是用釣魚式攻擊來取得帳戶權限:“他們就是複製推特網址,製造一個特別網域,再發送email告訴用戶基於安全理由,你必須重置密碼。但這不是推特官方網站,而是黑客的網站,但看起來幾乎一樣。你輸入密碼後,他們就能拿到你密碼,獲取帳戶完全權限。”

貝森多福接着說,獲取帳戶權限後,黑客就可能取得網民的手機號碼,再以此查出用戶身份。他表示,安洵提的“落地”成功率似乎合理,“因爲釣魚式攻擊僅約10%至20%的人真的會點開連結,並輸入密碼”。

他還指出,黑客除此之外也能利用推特部分功能弱點來取得用戶資訊,例如發掘聯絡人,過去就曾發生類似事件。他說:“若你允許推特APP獲取你的通訊錄,推特能用這些電話號碼找到對應聯絡人,讓你在推特上關注他們。另一個方式是翻閱所有可能號碼,再詢問推特某號碼是否有對應帳戶,也能反向查詢,查出某推特帳戶的號碼。”

推特公司2020年2月曾對外揭露,該公司2019年底發現有心人士使用大批假帳號,利用推特應用程序編程接口(API),將帳戶名稱與手機號碼媒合。推特調查發現,這些假帳號散佈世界多地,但許多集中於伊朗、以色列與馬來西亞,“部分IP位置可能與國家資助行爲者有關”。

中國手機實名制 被“落地”幾率較高

旅居臺灣的中國網路工程師佐拉接受本臺訪問時也表示,安洵宣稱能查出X用戶資訊的可信度 “非常高”,因爲手機在中國是實名制,在海外社媒平臺使用中國手機的大概率會被落地。

佐拉提到2018年一起涉及推特中國籍員工的案件。當時,一名賬號爲 @eddiex 的推特前員工在網上披露,自己從美國回貴州老家探親遭當地國安部門約談,對方以 “國家利益” 爲名,要求他寫代碼以監控推特信息,但被他拒絕。

佐拉說:“也就是說,這種中國國安的嘗試肯定存在過,這是第一個;第二個是推特用戶數據,就是用戶名字、電話等基本資料肯定已經泄露了。因爲在安洵大數據裏面,它有提到可以對推特用戶進行查詢,可以落地。”

外泄文件顯示,安洵員工爲客戶查詢推特帳號@TGtadie用戶資訊。(取自Github截圖)
外泄文件顯示,安洵員工爲客戶查詢推特帳號@TGtadie用戶資訊。(取自Github截圖)

不過,佐拉認爲,“落地”成功率若在20%到30%的話,證明安洵手上資料不是即時地從推特公司獲取:“等於他們在推特公司可能只是盜取了一次,可能某個時間段以前所有用戶的資料。但某個時間段之後的資料,它就查詢不到” 。佐拉也質疑,安洵宣稱能竊取X用戶私信內容有 “吹牛” 成分。他說:“它對外宣傳文檔是號稱能獲取到用戶私信。但實際上,跟其他人聊天的時又說資訊沒辦法獲取到,要用貼靠的方式纔行。”

佐拉解釋,“貼靠”基本上就是透過釣魚攻擊:“比如說,把自己人物設定成一個異議人士,或者是一個黃推(色情)用戶,然後去私信、去溝通,想辦法給他一個所謂取證鏈接,其實就是釣魚鏈接。用這種方式去誘使對方上當受騙,去騙到他的帳號密碼,騙到他給第三方應用授權,就能讀取到他的私信。”

不想被“喝茶” 網民應三招自保

不過,目前旅居美國的前微博審查員劉力朋認爲,中國翻牆網民不用對此過度擔心,因爲當局或安洵監控異議人士的手段與策略“本身沒有新東西,都已經是老生常談” 。

劉力朋接受本臺訪問時,傳授網民翻牆使用推特要注意的3點安全常識:“你不能拿(中國)+86的手機來收推特驗證碼,不能拿QQ、網易郵箱去註冊推特號,然後不能在牆內、牆外用同一個ID。”

劉力朋說,以上雖然是簡單的道理,還是有很多人不懂、不明白。他舉例,白紙運動時出現 “大翻牆” 運動,“但他們很多都是第一次翻牆,頭一次註冊推特號,所以肯定不懂會有這樣的問題。”

貝森多福也教授中國網民3招自保措施,包括使用非實名手機號碼註冊推特、使用VPN或Tor瀏覽器來隱蔽IP位置,以及不要在推特上分享任何可能被用來辨識身份的信息或圖片。

中國黑客“外包” 公安、網安、軍方各取所需

回過頭來看,安洵究竟是間什麼樣的公司?

長年爲中國軍方、公安與安全部門提供網安服務的 “安洵信息”(i-Soon)近期疑遭外泄的文件,或許能提供點答案。2010年成立的安洵總部位於上海,圖爲安洵成都分部。(美聯社資料圖片)
長年爲中國軍方、公安與安全部門提供網安服務的 “安洵信息”(i-Soon)近期疑遭外泄的文件,或許能提供點答案。2010年成立的安洵總部位於上海,圖爲安洵成都分部。(美聯社資料圖片)

上述外泄文件顯示,2010年成立的安洵總部位於上海,在成都、南京與昆明等地設有分部。該公司宣稱擁有高級持續性威脅(APT)團隊,能提供目標滲透、會戰支撐與情報等服務,並具備遠端控制Windows、Mac、iOS、Android等系統的能力。

此外相關外泄文件還顯示,安洵的絕大部分客戶似乎均爲中國政府部門,舉凡市級公安局、安全局、網安部門、甚至是人民解放軍等都曾將網安工作外包給安洵。以一份名爲《四川安洵合同賬目》的外泄文件爲例,該公司在2016年至2022年間達成的120筆合同中,至少6成的最終用戶爲政府部門,分佈包括北京、海南、雲南、浙江、寧夏、西藏等地。這份合約表顯示,中國政府部門承包給安洵的項目價格介於1萬至334萬人民幣,購買品項多元,其中常見郵箱攻擊密取、推特落查等系統。例如,台州市公安局2021年11月就花費260萬,添購推特落查、Telegram遠端取證落查、自動化滲透測試平臺、網站滲透服務等7項不同產品。

疑似被泄露的四川安洵合同賬目,當中多筆合同的最終用戶爲中國政府部門。(取自Github截圖)
疑似被泄露的四川安洵合同賬目,當中多筆合同的最終用戶爲中國政府部門。(取自Github截圖)

安洵一份外流文件列出22地、79項海外目標,其中包括香港、臺灣、韓國、緬甸、菲律賓、泰國、越南等。(取自Github截圖)
安洵一份外流文件列出22地、79項海外目標,其中包括香港、臺灣、韓國、緬甸、菲律賓、泰國、越南等。(取自Github截圖)

針對攻擊目標,除境內異議人士外,安洵外泄文件還顯示該公司鎖定國外政府部門、大學或通訊公司。一份安洵外流文件列出22地79項海外目標,其中包括香港、臺灣、韓國、緬甸、菲律賓、泰國、越南、印度、印尼、柬埔寨、法國、土耳其等;黑客活動獲取內容,包含臺灣的建築與道路數據、香港電信用戶姓名與社會安全碼、印度內政部辦公室文件等。除此之外,上述外泄文件中的安洵內部聊天記錄還顯示,其他如北約、歐盟、英國等西方政府或組織也疑似該公司鎖定的目標。

根據一份外流的公司高層對話記錄,安洵高層陳誠(代號lengmo)2020年與總裁吳海波(代號Shutd0wn)談話時,就曾自豪安洵觸角遠播。陳誠指出,安洵培訓標語要能體現公司 “格局”,“我們畢竟是做全國的嘛,沒寫全球就算低調的了。”

政府資助黑客日益常見 安洵僅冰山一角

針對安洵外泄文件內容,貝森多福坦誠,其實他並不意外。他說:“這是我們常常見到的,與我們預期中國、俄羅斯、伊朗(黑客)行爲者會做的事一樣。很不幸地,現在這個非常、非常常見,所以我並不意外。”

佐拉也認爲,網安外包已成趨勢,主要是政府僱員多受IT能力與官僚條框限制, 但私營黑客組織相對非常有經驗,就能夠成爲被政府資助的攻擊執行者。

佐拉指出:“網路攻擊基本上都是由政府買單而已,但不是他們親自去執行。我相信,世界上大部分攻擊都是由私營公司來做的。” 他認爲,安洵只是中國龐大外包黑客網絡的 “冰山一角、衆多承包商之一” 。

但他認爲,如安洵這類公司肯定會自我吹噓以獲得政府訂單,但實際能力不一定如此。

記者:徐薇婷   責編:何平   網編:瑞哲

添加評論

您可以通過填寫以下表單發表評論,使用純文本格式。 評論將被審覈。