【美起訴五位 #中國駭客 受害者包含 #台灣 一所大學、#香港 運動人士】
🖊Note: 本來以為只是美國司法部又一起中國黑客的起訴案,讀了起訴書才發現不少料。而且跟昨天振華數據公司的新聞、台灣、及香港都有關連性。
▫️報導全文:https://pse.is/sd43l
▪️美司法部“#中國行動計畫”進行時 5中國駭客遭起訴
9月16日,美國司法部宣佈起訴五名中國公民,他們涉嫌非法入侵全球上百家公司、機構與個人的資料庫。
司法部也同時起訴另外兩名馬拉西亞商人,他們涉嫌與其中兩名中國駭客合謀,通過針對美國和國外電子遊戲行業的電腦入侵牟利。美國哥倫比亞特區聯邦法院日前對這兩名商人發出逮捕令。
美國司法部2018年11月啟動旨在應對來自中國的安全威脅的“中國行動計畫” (China Initiative)專案,這次是又一起對中國駭客的調查案件。
本台從司法部資料發現,“中國行動計畫”近三年來,美國司法部已有55起中國相關案件,其中2020年九個月內,就有28起中國相關的起訴案。
至截稿,中國駐美大使館並未回復本台採訪請求。
▪️美司法部:中共默許🇨🇳駭客竊取海外資訊
美國司法部副部長羅森(Jeffrey Rosen)在記者會上讚賞馬來西亞執法單位的配合,證實兩名馬來西亞商人已在9月13日晚間遭逮捕,正準備引渡。
羅森話風一轉,批評中國政府為中國駭客的犯罪行為背書。
🗣"理想情況下,我將感謝中國執法部門的合作,拘留5名中國駭客,等待審判。不幸的是,近年來的記錄告訴我們,中國共產黨在選擇一條不同的道路:只要能幫助中國實現竊取智慧財產權和達到扼殺自由的目標,就會為中國的網路犯罪分子提供安全保障。"
聯邦調查局(FBI)副局長鮑迪希(David Bowdich)在記者會上談到,FBI新的網路戰略要讓"敵方"承擔犯罪風險和後果。
🗣“今天的公告顯示了中國駭客將面臨的後果,但同時也提醒那些繼續採用惡意網路攻擊的人,我們將利用所有工具來進行司法審判。”
▪️👀誰是受害者? #香港民主運動人士、#臺灣 的大學在列
根據起訴書,被這五名中國駭客攻擊的有包含美國、韓國、日本、印度、臺灣、香港、馬來西亞、越南、印尼、巴基斯坦、澳洲、英國、智利、新加坡及泰國在內的全球100多個"受害者"。
"受害者"包含高校智庫、電信公司、社交媒體公司、非營利組織、電玩公司、軟體發展商、電腦製造商、政府單位,甚至還有親民主的政治家和香港民主活動人士。
起訴書中,提到了五名被鎖定的香港民主運動人士,都以數位代號顯示,其中一名"正因為2020香港國安法遭當局通緝"。
此外,起訴書中還放上2019年10月,中國駭客入侵臺灣一所大學的資料庫,竊取67000張個人資料照片的截圖。
值得注意的是,9月14日,與中國解放軍及情報系統有關聯的廣東省深圳市" #振華數據 公司",建立超過240萬筆的"海外重要人士資料庫"剛被洩漏,並引起世界各國警覺。
最早拿到振華數據庫的研究團隊16日告訴自由亞洲電臺,目前恢復的振華數據庫中,至少有892個名字是香港及中國人士。
▪️🧑🏻🎤五位80後中國駭客是誰?
司法部起訴的五位中國公民,分別是譚戴林、張浩然、錢川、付強、蔣立志。他們年紀都在35歲到39歲之間,都是名為“APT41”的中國駭客組織成員,後三人還共同經營一家位於成都的"肆零肆網路科技有限公司"。
至9月16日,記者仍能訪問其公司網站。公司網站上記錄的兩大服務專案分別是網路風險評估系統及Sonar-X資料庫。Sonar-X資料庫多次出現在美國司法部的起訴文件中。
根據起訴書的英文翻譯,蔣立志曾告訴其他駭客"中國國內的東西不要碰",並稱自已與中共國安局關係"非常緊密"。
本台查閱公司網站還發現,這家公司在2019年獲頒“成都資訊網路安全協會”優秀會員。成都資訊網路安全協會的介紹寫道,這是由中國官方"指導"的社會組織。
▫️報導全文:https://pse.is/sd43l
▫️前情提要:https://pse.is/npvnz
▫️司法部文件:https://pse.is/tfdkl
▫️還沒被404的"肆零肆網路科技公司":http://www.umisen.com/
(圖一:FBI通緝五名中國黑客)
(圖二:台灣一所大學被盜的照片庫)
(圖三:404公司截圖)
個人資料洩漏後果 在 Pazu 薯伯伯 Facebook 的精選貼文
我覺得有一點一定要正視聽,就是很多人都誤會了,以為自己只要用了太空卡,或太空機,或甚至兩者都不用,就可以完全匿名隱身,這種誤會有可能導致極嚴重的後果,所以大家一定要小心謹慎去處理所謂的「匿名隱身幻覺」。
我之前寫了一篇文章,現在再一次跟大家分享。
* * *
零基資安訓練營(九):如果要完全隱藏網上身份
文:薯伯伯
有些朋友會覺得很奇怪,看到我一方面又對資訊保安很著緊,要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等,但另一方面又會用信用卡、電子錢包,甚至當 iPhone 可以使用八達通時,還第一時間搶著去試用。
朋友問:「我還以為你要做到隱藏自己的身份。」
不是的,我其實從來沒有打算完全隱藏自己的身份,我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄,其他人當然沒有資格過問。但換了是去超市買了 100 元東西,我又不是太過介意留下記錄,甚至用信用卡消費儲點積分來兌換機票。
坊間經常有人把「保護私隱」及「隱藏身份」混為一談,這是錯誤的說法,也是危險的說法,亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」,就覺得自己是匿名,那肯定是錯誤。又例如有人上網用了 VPN,就覺得隱藏了 IP,以為可以隱藏了真實身份,也是大錯特錯。
我在這篇文章,就大概講一下,如何可以做到真正隱身上網。真正隱身,是指即使對方有較高強的追蹤能力,也難以把你的網上身份,與真實的身份形成任何連結。
首先你要到一些不相熟的店鋪,以現金購買一台全新的電腦(二手未必好,因為你不知道之前是甚麼人用過),不能用信用卡付款,購買的過程要戴鴨舌帽,現在方便的話也要戴上口罩,以防監控電視把你拍下。在第一次開啟電腦及連線時,必須確保自己的手機或其他上網設備提前全部關閉。
在電腦上安裝 Tails 作業系統(The Amnesic Incognito Live System)及 TOR 瀏覽器,這部電腦只能作為你新建的匿名身份之用,絕對不能與其他身份混合使用。不過要留意,每部上網的設備本身都有一個 Media Access Control Address(即簡稱 MAC 地址),這是其中一個可能辨認的痕跡。例如去快餐店上網,每日限時一小時,他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下,為免增加寫作人及轉載媒體的法律風險,有關 MAC 地址的討論就到此為止。
還是得強調一點,保持匿名,是完全合法合理。
用 TOR 連到免費的 wi-fi 熱點,在商場裡監控鏡頭太多,巴士上的熱線可能好一些,但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址,例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證,但可能太多人濫用,最近要輸入電話做驗證。如果真的有這個情況,就要用現金買一部太空電話及一張太空卡,並在跟自己完全無關的位置開啟太空機及插入太空卡,接收到短訊認證,這部機就不應重複使用。
之後如果你有任何交易,可以使用加密貨幣 Bitcoin,但有 Bitcoin 的交易本身是公開,是可以輕易清楚查看每宗交易記錄,每一分每一毫都會清楚列出,這是區塊鏈(blockchain)的特性,不能關閉這個功能。
有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin,最有名氣的網站是 Paxful.com,你可以用 TOR 去該網站,以匿名情況下申請的電郵地址去開啟錢包,再看看不同貨幣販子的要求,有些需要你的身份認證,手續費較低,有些甚麼也不需認證,但手續費可能要 50%,這就是匿名的代價。支付的方式,可以用禮品卡,而因為 Bitcoin 本身不會隱藏交易記錄,所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡,要用安全的方法棄置。
之後可以用這些匿名購買的 Bitcoin 再買 VPN,例如 ProtonVPN。不過因為要維持匿名,即使 ProtonVPN 在業界裡的信譽很好,但在申請服務時也不要提供個人資料。
好了,你現在終於有一部新的電腦,裡面安裝了較安全的操作系統 Tails,還有 TOR,加上用 Bitcoin 買回來的 VPN,這裡預計花上數千港元。
之後是關鍵之處,想像一下,你花了數千元設置的匿名裝置及系統,卻一時不小心或手痕,把匿名設備連上了自己家裡或工作地點的 wi-fi,那這個設備就算是污染了,不再匿名。
又或是,你每次都很小心,明明家住香港仔,卻跑到天水圍才找免費的 wi-fi 上網,但原來每次你都同時帶備自己的手機兼全程開機,那麼你的行蹤也有可能暴露了,情況就有點像明星 A 和歌手 B 兩人從不交談,但經常出雙入對,難道只是巧合而已?
所以每次在新位置使用匿名裝置,就必須提前把身上其他上網裝置關閉,至於關閉了的手機會否仍然發出訊號,有點難說,所以還要把手機放進「法拉第袋」(Faraday bag),金屬物料做的布袋,能有效屏蔽外電場的電磁干擾,單用錫紙袋是沒有用。
每次上網不能太長時間,例如斯諾登當年在美國舉報 NSA 監聽事件,就是開著車到處找尋開放的 wi-fi 訊號,而每次上網也只是十多分鐘,否則易受追蹤。他在爆料之前跟記者聯絡,要求對方先安裝 PGP(加密方法),但記者不明白又不在意,斯諾登等了數個月才成功跟記者建立了加密聯諾途徑,而在這幾個月裡,斯諾登顯出強大的自控能力,能抑壓著心中團火,沒有提前在其他渠道洩漏敏感訊息。
這篇文章很長,當中不少細節寫得粗疏,但最主要的目的是要普及一個訊息,要做到真正匿名,除了要有金錢資源,有技術知識,更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」,而不是「如何完全隱藏網上身份」,正正就是因為我覺得對大多數人而言,根本就不可能輕易隱藏自己的數碼足跡(包括上網,包括日常的電子交易等)。
所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡,手機卻在任何場合均會長開,打電話時甚至會用最原始的方式直接撥打號碼,而不用有點對點加密的方式聯絡(例如使用 Signal 的電話功能),我就總覺不安。
在適當的日子,去特定的地方,要用現金支付,避免留下交通記錄,這確實是常識,但如果不理解匿名的運作原理,卻誤以為自己沒有使用銀行卡或交通卡就等同安全,那是幻像而已。
照片:Joshua Gandara / Unsplash
⏺ 請支持不受干預的創作:http://patreon.com/Pazu
個人資料洩漏後果 在 尤美女立委 Facebook 的最讚貼文
「電腦處理個人資料保護法」從84年公告施行後,已漸漸不符合需求。立法院終於在99年4月完成三讀通過「個人資料保護法」的修法,將對於個人資料的保護不再僅限於經由電腦處理的個人資料。
因為隨著科技進步與資訊網路傳輸的普及,個人資料暴露的風險也就日益增高,包括我們日常使用的網路銀行、網路購物、智慧型手機APP軟體的使用、信用卡,甚至是現在到便利商店、百貨公司索取的電子發票領獎等等,都可能發生個資洩漏的問題,而且個資洩漏的新聞也屢見不鮮。
舊法是自公布日施行,可是新法的第56條規定的是,施行日期由行政院定之。但是,立法院在99年三讀通過的個人資料保護法,至今超過兩年遲遲未公告施行。行政院如此的作法,已經是非常不尊重立法院。
個資法從99年4月至今遲遲未施行,而這超過兩年期間也發生了不少大筆個資外洩案例,例如:警方查獲詐騙集團,他們的電腦中發現台新銀行兩萬筆客戶現金卡、存摺個資(2011/12/24)、玉山銀行未落實資安控管,一萬六千筆客戶資料遭駭。此外,小筆的個資洩漏案件也層出不窮,光是上個月有關個資洩漏事件的新聞就有6件,但實際的案件應該更多。
此外,依照舊法第三條受規範的非公務機關,僅包含徵信業者、醫院、學校、電信、金融、保險、大眾傳播業等特定八種行業,但是未施行的新法則是包含公務機關以外的自然人、法人或其他團體。在新法未施行,舊法所規範的對象有限的情況下,仍有造成規範上的漏洞,例如電視購物頻道、網路商店或是個人等未受規範。萬一,當這些企業洩漏或盜賣客戶資料,而導致民眾權益受害時,就不受個資法的約束,而這就是個資法遲遲未施行之空窗期所導致的後果。
記者會的現場,尤美女立委要求法務部次長必須盡早將行政院版草案送到立法院,另外,法務部次長承諾今年10月1日會施行99年三讀通過的個資法。
個人資料洩漏後果 在 inMall 里好舖- 【網上購物私隱洩漏 信用卡被盜用】 #營商守則 ... 的美食出口停車場
安全隱患,例如:個人資料洩漏、信用卡畀人碌爆等等 。 好多人覺得網購資料洩漏好似好小事 ,都唔會有咩實 質性嘅影響,信用卡畀人碌爆,最多咪打電話 去負責 ... <看更多>
個人資料洩漏後果 在 300萬香港Facebook用戶資料外洩私隱公署卻束手無策 的美食出口停車場
美媒《商業內幕》(Business Insider)昨日(3日)報道,Facebook逾5億名用戶的個人資料,包括姓名、電話和電郵等,被上載至一個黑客網站供免費瀏覽。 連 ... ... <看更多>