【文/观察者网 邵昀】
美国国家安全委员会的"群聊泄密门"持续发酵之际,一些牵扯其中的特朗普政府高级官员似乎还没能吸取教训。26日,美国总统国家安全事务助理迈克尔·华尔兹又被曝其支付软件账号好友列表也一直向外公开,在美国国内引发争议。
此外,华尔兹与防长赫格塞思等其他参与"群聊泄密门"的国安高官还被德媒发现,其手机号码、电子邮件地址乃至部分账号密码都在网上公开可查,埋下隐患。专家称,利用这类数据,黑客足以向这些政客发起"令人信服的网络钓鱼攻击"。
据美国《连线》杂志网站26日报道,其审查发现,一个高度疑似华尔兹本人正在使用的Venmo(美国移动支付软件)账号,一直未能将其好友列表设为隐私状态。这也意味着表中众多与他有联系的政府官员、媒体人等的名单始终处于公开状态。直到26日下午《连线》向白宫提出问询后,其访问权限才被匆忙关闭。
报道说,该账号与华尔兹同名,且使用他本人头像,长达328人的好友列表包括美国多名国家级、州级政治人物,如现任白宫办公厅主任苏茜·怀尔斯、得克萨斯州众议员丹·克伦肖;各路媒体主播、国安条线记者、电视台制作人、军火企业高管;以及一些普通账户,如与华尔兹相熟的医生、房地产经纪人和裁缝。
怀尔斯可以说是名单中最引人注目的一个。身为白宫幕僚长,她被美媒称为美国总统特朗普"最信任的政治顾问之一",但她也和华尔兹一样没有关闭好友列表访问权限。怀尔斯的182人好友列表中包括不少有影响力的人物,如美国司法部长帕姆·邦迪、特朗普上个任期内的白宫通讯主管霍普·希克斯等。
当地时间2月5日,怀尔斯(右一)和华尔兹(右二)在白宫椭圆形办公室,这张照片因怀尔斯看向特朗普(左一)的眼神而在社媒走红 外媒
据介绍,Venmo在新用户注册账号时,会提示用户同步手机联系人,自动将通讯录中已使用Venmo的联系人添加为好友。《连线》援引专家分析说,有心之人很容易利用这些联系人的名单伪造身份,或是获取未公开信息(如当事人是否秘密接受某种疾病治疗),从而"达到各种目的"。
报道举例说,为破坏伊朗核计划,美国和以色列曾在伊朗核设施电脑系统埋入蠕虫病毒,当时被动手脚的就是高级官员身边的控制工程师的U盘,而非高官本人的U盘。
"你首先想到的是反间谍问题,对吗?还有安全漏洞。"前情报分析师、现约翰·霍普金斯大学情报分析硕士项目的主管兼高级讲师迈克尔·阿德(Michael Ard)说,"这在某种程度上有点令人难以置信。"
另据德国《明镜》周刊网站27日披露,华尔兹、国防部长赫格塞思和国家情报总监加巴德的手机号码、电子邮箱地址等也已被泄露到公开的网络平台。
报道称,在向一家"商业联系人信息提供商"提供赫格塞思的领英页面链接后,记者"很容易"就收到了对方发送的、这名前福克斯新闻台主播的Gmail邮箱和手机号码等个人信息。通过黑客多年前泄露到网络的资料,甚至可以找到其中一些账号的关联密码。
这家"商业联系人信息提供商"提供的手机号码还指向一个最近才删除的WhatsApp(美国社交聊天软件)帐户。经面部识别软件比对,其个人资料照片与赫格塞思一致。
左为赫格塞思公开照片,右为《明镜》周刊公开的WhatsApp账号头像
报道说,通过同一家"商业联系人信息提供商",也可以找到华尔兹的手机号码和邮箱地址。在收到华尔兹的手机号码后,记者发现他的号码在美国流行的人物搜索引擎上也有公开。顺着号码和邮箱,又可以找到华尔兹的Microsoft Teams、领英、WhatsApp和Signal资料。此外,记者还在黑客泄露的数据库中找到了与华尔兹的邮箱地址关联的多个密码。
相比两名同事,《明镜》周刊称,加巴德似乎更为谨慎。她的个人数据显然在前述"商业联系人信息提供商"的数据库中被屏蔽了,但也可以在维基解密和社交平台Reddit上找到她的邮箱地址。加巴德的邮箱地址出现在10多个黑客数据库中,其中一个还披露了部分她的电话号码。在补全后,该号码指向了一个仍在使用的WhatsApp和Signal账户。
信息安全、信息获取和社会工程学专家唐纳德·奥特曼(Donald Ortmann)表示,利用这类数据,黑客足以向这些政客发起"令人信服的网络钓鱼攻击",或是利用网上公开的图片和音频进行"深度伪造",伪装政客身份参与线上会议。此外,被盗用的账户还可能被用于"安装恶意软件、监听通信和政治勒索"。
上述情况一经公开,美国《新闻周刊》27日说,已在美国引发抨击。政治评论员布赖恩·克拉森斯坦(Brian Krassentein)称这是"又一次鲁莽的安全漏洞"。美国媒体事务高级研究员马修·格茨(Matthew Gertz)则表示,怎么会有政界人士"愚蠢到……公开他们的Venmo账号"。
值得一提的是,这并非首次有美国政府高级官员被发现将其Venmo好友列表设为公开可见。除了最新被曝的华尔兹和怀尔斯,美国副总统万斯、赫格塞思以及前总统拜登都曾踩过这个"坑"。事实上,正是在2021年美媒发现可以通过好友列表在Venmo上轻松找到拜登账号后,Venmo才推出了好友列表隐藏功能。
不过,此次曝光正值前不久美媒披露另一起"Signal泄密门",格外引发美媒关注。《连线》直言,这表明"Signal泄密门"并不是一次孤立事件,而是"特朗普政府中一些最有权势的人鲁莽行为的更广泛模式的一部分"。
本周一(24日),美国《大西洋》月刊主编杰弗里·戈德堡曝光,华尔兹曾将"外人"拉入美政府高层讨论袭击也门胡塞武装的Signal聊天群,提前泄露了美军的空袭计划,引发国际社会关注。特朗普政府官员25日就此事接受参议院质询,听证会现场火药味十足,民主党参议员轮番炮轰,要求涉事官员引咎辞职。
截至目前,特朗普和白宫一直主张官员们在群聊中没有讨论任何机密信息,不应对此负责或道歉,并指责以此攻击特朗普政府的人是在进行"政治迫害"。但美国进步派媒体Meidas Touch主编罗恩·菲利普科夫斯基(Ron Filipkowski)26日分析认为,身陷多起国安疑虑风波的华尔兹这下可能会激怒特朗普。
