示意圖。Original photo by Blogtrepreneur (CC BY 2.0) (https://www.flickr.com/photos/143601516@N03/29402709463/in/photostream/)

.

美國司法部在本周指控了4名中國軍人,涉嫌在2017年入侵美國第三大消費者信用報告業者Equifax,盜走了1.5億名美國消費者的個人資料,接近美國總人口數(3.3億)的一半,要求他們為其犯罪行為負責。

在2017年遭到駭客入侵的Equifax,外洩了1.5億名美國消費者的個人資料,包括姓名、生日、社會安全碼,以及部分消費者的地址、電話號碼、駕照號碼、電子郵件帳號及信用卡資訊等,在當時排名全球第五大資料外洩事件,僅次於Yahoo在2013年的30億、Yahoo在2014年的5億、MySpace的4.27億與Linkedln的1.67億。

美國司法部指出,來自中國解放軍第54研究所的吳志勇、王乾、許可及劉磊,在2017年同謀駭進Equifax的電腦網路,當時他們攻陷了Equifax未修補的Apache Struts網頁框架漏洞,並取得了登入憑證以在Equifax企業網路中進行偵測,他們花了好幾周的時間查詢Equifax的資料庫結構,同時在系統上搜尋機密或個人資訊。

一旦發現有用的檔案,就把它們壓縮並存放在暫時的檔案中,再伺機將檔案傳送到位於美國之外的伺服器,估計總計執行了9千次的查詢,取得了近半數美國人的個資。

駭客有興趣的檔案不只是個資,美國司法部也指控他們,盜走了包括Equifax的資料彙集與資料庫設計等商業機密。

與絕大數的國家級駭客一樣,他們也採取了所有可用來躲避偵測的手法,例如駭客的流量經過了近20個國家的34個伺服器,也在Equifax的網路上使用加密通訊管道以魚目混珠,還會每天刪除壓縮檔案與日誌檔案,以避免被察覺,整起入侵行動持續了3個月。

美國司法部長William Barr表示,這是一起故意且全面的入侵行動,美國不只要求這幾名解放軍人對此一事件負責,也要提醒中國政府,美國有能力移除網路上的匿名偽裝,找到那些反覆針對美國展開攻擊的國家級駭客。

上述4名解放軍總計被指控9項罪名,涵蓋電腦詐欺、從事經濟間諜行動及執行電信詐欺等。不過,美國司法部的新聞稿,應是以召告世人及警告中國為主,因為中國政府一向否認曾參與任何的駭客行動,也不會把美國所指稱的嫌犯拱手送給美國。