前不久,羅馬尼亞監獄曝出的一起網路安全事故,再次驗證了那句網際網路名言 —— 世界就是一個巨大的草台成員。該國囚犯竟然能隨意入侵監獄的管理平台,給自己更改刑期、發錢、安排探視等,實現了離譜的“自我管理”。(示意圖,來自網路)這次事件的主角是一位名叫Aurel Z.的犯人,他因為替義大利黑幫洗錢被判了9年零10個月。幾個月前,他被暫時轉到特蘭西瓦尼亞德日市(Dej)的一處監獄醫療中心,通常犯人們只是被送到這裡治病,之後又會返回原來的監獄繼續服刑。結果Aurel Z.意外在這遇到了一位關鍵人物:囚犯A(暫未透露姓名,簡稱“囚犯A”),並從他口中得知了一個驚天秘密 ——入侵囚犯管理平台的方式。(示意圖,來自網路)囚犯A因IT相關罪名入獄,自稱知名駭客組織“匿名者”(Anonymous)的一員,他先是找到了入侵監獄醫療中心,以及該國其他監獄內安裝的平板裝置和自助服務終端的方法。平時,犯人們可以通過使用者名稱和密碼,在這些平板等裝置上登錄由國家監獄協會管理的線上平台,提交些私人申請,通過勞動兌換減刑天數,也可以往自己的帳戶裡充值,選購特定的商品和服務。結果囚犯A發現,登錄帳戶後,只要在平板上執行特定手勢操作,或利用裝置的開始菜單和通知區域,就能把國家監獄協會的應用壓到後台,這樣一來就可以訪問其他應用程式了。其中一個可訪問的就是瀏覽器頁面,上面還顯示著共享同一網路的其他裝置,比如監獄醫療中心秘書處的印表機系統,借此,囚犯A又進一步盜取了一個高級權限帳號……至於他盜取的具體過程,目前還沒有明確報導。有兩種說法,一是他進入了印表機的登錄介面,看到了其他人輸過的使用者名稱和密碼。另一種說法是他獲取了訪問日誌,並盜用了過往管理員、也就是監獄醫療中心前院長的帳號,而該帳號擁有國家監獄協會平台的全部管理權限,有了它,囚犯A就可以給自己或任何一個囚犯減刑、獲取獄內權利、增加帳戶餘額,這權利可就大了。而此時,囚犯A做了一個出人意料的決定 —— 為了在獄中給自己增加些聲望,他乾脆把這個秘密告訴給了其他人,其中就包括Aurel Z.。(示意圖,來自網路)被轉回特爾古日烏的監獄後,Aurel Z.迫不及待也嘗試了同樣的入侵方式,因為平台全國通用,他順利進入了自己監獄的系統,然後做的第一件事,就是給幾位獄友開放了訪問成人內容的權限……把“大事”解決後,他又開始修改個人財務記錄,通過刪除過往消費記錄、更改交易金額等方式讓餘額回升,同時錄入虛假資訊,增加了自己的“已服刑天數”和“通過勞動獲得的減刑天數”,從而縮短刑期。這跟孫悟空撕生死簿有什麼區別.....他也是挺“慷慨”的,沒只顧著自己享受,還幫助了另外15名獄友,同樣增加了他們的帳戶餘額,並修改了他們的刑期執行方式、探視安排、羈押條件以及其他權利。這種行為一直從八月持續到十月,Aurel Z.在監獄系統內累計登錄了300多個小時,卻始終無人發現,他也愈發猖狂,甚至訪問起了安全資料、干預記錄,並打算複製整個應用程式。不過最後他還是因為太過貪婪暴露了罪行,他實在是把餘額修改得太誇張了,其中一個帳戶竟被他加到了500萬列伊(約合人民幣元817.8萬元),而他本人每月消費也高達1萬列伊(約合人民幣16356元),幾乎是該國最低工資的三倍,這對於一名囚犯而言根本是不可能的數字。終於被一名銀行工作人員發現,他們的帳戶餘額和消費記錄與系統錄入金額不符,才揭露了這起離譜的監獄系統入侵事件。(示意圖,來自網路)事情曝光後引發了輿論關注,犯人竟然能輕鬆入侵國家囚犯管理平台,這種安全漏洞簡直無法想像。很快警方便展開調查,管理人員也停用了平板電腦,並立刻拆除了自助服務終端的鍵盤。目前根據國家監獄警察工會的報告,另外還有兩處監獄也出現了被入侵的跡象,一處在蒂米什瓦拉,另一處靠近克拉約瓦市,看來除了Aurel Z.,還有不少囚犯也實踐了囚犯A的方法,不知道已經有多少囚犯從中受益……對此,國家監獄協會的局長被指控嚴重失職,因為此前,有兩名主管和一名值班經理聽到過“囚犯能進入色情網站、更改餘額”的傳聞,當時就已將情況上報,另有一名“線人”在漏洞被正式發現的前一周也進行了匯報,卻都遭到了忽視。現在也只能亡羊補牢了,羅馬尼亞司法部長拉杜·馬里內斯庫(Radu Marinescu)也做出回應,表示正在進行相關檢查,已經實施了20多項措施,並聯絡了監獄系統內所有具有資訊安全權限的機構,將追究所有相關人士的責任。至於民眾最擔心的,是否有囚犯因此被提前釋放,目前還在核查中,暫時沒發現這類資訊。事情發展到現在,估計囚犯A和Aurel Z.也十分後悔,本想靠這招在獄中俘獲人心,結果只得意了幾個月就被揭穿,尤其是Aurel Z.,本來老老實實服刑,明年一月就能獲釋,現在不知道要被關到猴年馬月了…… (英國那些事兒)
