删除不雅照,侵入爱人的邮箱看看有没有出轨行为,窃取对手数据库里的客户名单......尽管美国政府越来越关注数据安全,但民间的有偿黑客服务却越来越火。
图片来源:网络
瑞典一名男子称,如果谁能侵入他房东的网站,他愿意支付2000美元作为酬劳。加州一位女士称,如果谁能侵入她男友的Facebook和Gmail邮箱账户,看看她男友是否出轨,她愿意支付500美元给黑客作为报酬。
目前,黑客行当早已不再仅限于特工领域、国际犯罪团伙、躲在暗处的政治操盘手以及心怀不满的黑客激进分子,瞄准的也不再只是一些宏大的目标。相反,它已经演变为一项越来越个人化的生意。
当前,索尼影业(Sony Pictures),摩根大通(JPMorgan)和家得宝(Home Depot)等知名公司遭受大规模黑客入侵的案件吸引了人们的广泛关注。但与此同时,却很少有人注意到,个人聘请黑客、小规模刺探信息的业务正在日渐壮大。
一家叫Hacker’s List的新网站尝试把黑客和那些希望入侵别人的邮箱账户、删除网站“不友好”的照片或进入公司数据库的人们与黑客们对接起来。这家网站运营不到3个月就挂出了500多单黑客生意,以竞标的方式供“专业黑客”们争夺这些“黑色订单”。
交易全部匿名完成,每笔任务完成后,网站运营商都会收取一笔费用。黑客任务未完成之前,顾客支付的费用都由网站保管。
Hacker’s List网站去年11月初刚刚上线。刚刚过去的几天里,这个网站招揽黑客的生意来自全球各地,每笔价格从100美元-5000美元不等。
例如,一位自称住在澳大利亚的客户最近发帖称,如果黑客能帮他从竞争对手的数据库中拿到客户名单,他愿意支付2000美元。
这位主顾写道:“我想要竞争对手数据库里的客户名单。因为我想知道他们的客户是谁,收费多少。”
还有一些人在这个网站上发帖找黑客,希望删除一些网站上令人难堪的照片或文章,找回丢失的密码,或者篡改学校成绩。
Hacker’s List网站上这些开门见山的黑客招募令表明,类似这样低层次的黑客行为已经变得多么司空见惯。它同时也表明,在联邦和各州政府关注数据安全的时期,这类黑客行为给执法部门带来了什么样的挑战。
计算机安全专家和执法官员称,现在黑客入侵个人邮箱或社交媒体账户的事件相当常见。去年九月,黑客在发布好莱坞女星裸照的事情就曾经在网上引发了轰动。
Hacker’s List网站究竟能取得多大的成功目前尚不清楚。回顾它之前的黑客招募令可以发现,很多活都没有黑客接单。目前,这家网站的注册黑客大概有40人,注册发布的黑客招募令有844条。而从已经发布的黑客招募令来看,很难判断其中有多少是合法的。
但Hacker’s List最近得到了专门评估这类服务合法性的hackerforhirereview.com网站的好评。Hackeforhirereview.com的评测员兼网站所有人在邮件中只愿意用艾瑞克(Eric)这个名字来指代自己。他说,他之所以给Hacker’s List打出了最高评级是因为它的点子“非常酷”,限制了客户和黑客互相利用的能力。
鉴于这个网站的创新,目前很难判断它到底是否违反了法律。
按理说,这个网站已经发布的一些黑客招募令并不合法,比如入侵他人邮箱帐户。
然而,Hacker’s List创始人辩解说,他们不用承担任何法律责任,因为它既不支持、也不不容忍任何违法行为。
这家网站上有一份长达十页的用户协议条款,所有用户必须同意。协议特别注明,“网站提供的服务严禁用于任何非法目的”。
一些专家称,目前尚不清楚Hacker’s List 为黑客和希望雇佣黑客的人们提供彼此接触的平台到底是否违法。
私营调查公司Cyber Diligence总裁亚尔金·德麦卡尔(Yalkin Demirkaya)曾经是纽约警察局(The New York Police Department)计算机犯罪科的指挥官。他说,执法人员是否会取缔它取决于警方是否把这类服务当成当务之急。他说,Hacker’s List很可能会溜过去,因为很多“发布黑客召集广告的人可能都在海外”。
然而,咨询服务公司FTIConsulting高级常务董事、曼哈顿美国联邦检察官办公室计算机和知识产权犯罪科前主管托马斯·布朗(Thomas G.A.Brown)认为,这类提供黑客雇佣服务的网站依然存在法律方面的问题。
布朗解释说:“雇佣黑客让非技术人员能够发起网络攻击,而且还能在一定程度上推脱自身的责任,从而降低了网络犯罪的门槛。”
这个网站的注册地在新西兰,业务模式模仿了好几家在线公司。这些公司把项目放到网上,吸引自由职业者公开竞标。有人把Hacker’s List称为黑客版的分类广告网站Craigslist。Hacker’s List网站甚至拥有自己的Twitter账号(@hackerslist),用来公布新的黑客任务。
尽管如此,Hacker’s List的3位创始人依然不愿意用自己的真实身份来面对外界,至少目前还不愿意。
记者在这个网站上注册之后,经过一番电子邮件往来,联系上了其中一位创始人。在几个星期的沟通中,这位只愿意用“杰克”这个名字来称呼自己的创始人在一系列邮件中表示,他和另外两名朋友共同创建了Hacker’s List网站,网站总部位于科罗拉多州。杰克自称是一名老资格的黑客,而他的另外两名合伙人一位拥有工商管理硕士学位,另一位是一名律师。
杰克说,他们3个创始人曾经就如何建构网站咨询过法律顾问,希望能够同时避免希望请黑客的客户和同意接单的黑客们的不当行为给网站带来麻烦。他还说,他的公司会尽力对注册竞标接单的黑客们进行小范围的背景调查,确保他们身份合法,不是骗子。
杰克在一封邮件中称,“我们成为朋友有一段时间了。”他还说,Hacker’s List网站算是他们有一天晚上喝酒的时候灵光一现的产物。
“我们讨论了一个很小的细分市场,据此创建了Hacker’s List网站。”杰克说,“生意差不多可以算是爆棚,这是我们没有预料到的事情。”
Hacker’s List网站上线之前几个月,美国联邦检察院和洛杉矶联邦调查局刚刚结束一个长达两年的黑客雇佣行业取缔行动。联邦调查局把这次调查称为“解雇黑客行动(Operation Firehacker)”,行动最终在全国范围内对12名涉嫌侵入个人邮箱账户或花钱雇佣黑客的人提起了刑事起诉。
洛杉矶黑客调查行动期间发现的信息最终导致埃德温·巴尔加斯(Edwin Vargas)在2013年被捕。当时,巴尔加斯还是纽约警察局的一名侦探。他被控支付4000美元请人侵入43个人的邮箱,其中包括纽约一些前任和现任的警官。2013年11月,巴尔加斯承认有罪,最终获刑4个月监禁。他说,他当时是因为出于嫉妒,想看看他的同事们中是不是有人在和他的前女友约会。巴尔加斯和他的前女友育有一子。
联邦调查局的这次调查还涉及与中国、印度和罗马尼亚官方的合作。因为其中一些黑客发广告宣传自己专业技能的网站在海外。
尽管如此,黑客市场的发展却没有出现放缓的迹象(这个市场上的很多黑客都遵纪守法,更接近于网络调查员)。很多公司都在聘请这些所谓有道德的黑客来找出自己公司网络中存在的漏洞。
科罗拉多NeighborhoodHacker.com网站运营主管大卫·劳森(David Larwson)称,目前各公司的需求正在增长,他们希望确保自己的员工无法通过黑客手段获取公司的敏感信息。他在一封邮件中说,目前各公司越来越警惕“内部威胁”造成的信息泄露或擅自发布信息的行为。
NeighborhoodHacker在网站上自称为是“已经通过认证的道德黑客”,与客户携手“确保数据、密码及儿童的安全”。
(译者:刘倩)