大多數人都會有過殺了某人的幻想。如今,隨著政府要求上網人士提供更多的個人信息,將幻想轉化為現實簡直容易,至少,在紙面上——在某些明晃晃的漏洞的恩賜下。
信息安全界人士克里斯·洛克就在拉斯維加斯本周舉行的DEFCON黑客大會上展示了他的這一發現。
安全公司Kustodian的這位澳大利亞籍主管展示了“殺人”有多么簡單——弄個假的出生證明,設置新身份——所有一切都在互聯網巨大能量的幫助下。
“我將之稱為‘生命終結漏洞’,”他說,“這是個全球性的災難,而我還未與任何廠商聯系過修復問題。”
他解釋道:隨著政府部門遷移到線上表單,大量漏洞開始浮出水面,能利用的信息又如此之多,要插手死亡生意真不太難。我不建議這么干,但這真是有可能的。
想注冊某人已死亡,必須提交一張由醫生在他咽下最后一口氣之后24小時內填寫的詳細死因的表單。喪葬師要在7天內聯署這張單子。然后,死亡證明就可以發給家人了。
在美國,這一切都在網上完成,通過電子死亡登記系統(EDRS)。醫生需要公開提供他們的行醫資格證書號、詳細住址和其他身份信息——都在網上輕易找到。
這些醫生詳細信息在被授權登錄EDRS系統之前都會與現有的記錄進行對照以核實。但是,最關鍵的,電子郵件地址卻不用經過核實——讓黑客可以添加新的郵件地址以盜取合法醫生的詳細信息。
有一點需要記住:死因切不可填成易引發爭論的,否則就會招來驗尸官,一場官方調查就在所難免了。如果一個家庭里死了1個以上的孩子,驗尸官也會被叫來調查。“因此,請小心殺死你的孩子。”洛克開玩笑說。
喪葬師也用同一套系統,他們的詳細信息同樣被存在網上可以被搜到的數據庫中。而且還有極為方便的“操作指南”小傳單可供查閱整個流程。
作為彩蛋,洛克把自己弄進了澳洲政府數據庫——以一名喪葬師的身份。他解釋了自己是怎樣設立一個網站,發送在線申請,并在3天后成功拿到政府官方頒發的合法尸體處理人資格的。
在美國,各個州都有自己的規矩。因此,在科羅拉多任何人都可以成為喪葬師,在內華達得支付345美元并通過一個考試,在加利福尼亞則需要一個文學學士學位。
所有表單都填了之后,登記員會向親屬發送一份死亡證明。當然,這位“親屬”可以是黑客在表單里填的任何人。很顯然,連同一份偽造的遺囑,該死亡證明可以被用于搬空某人的銀行賬戶,或者進行保險欺詐。
“為什么不在你還活著的時候就花掉你的人壽保險呢?”洛克問道。
即使沒走到詐騙那一步,偽造某人的死亡仍然能給他們帶來非常嚴重的問題。護照申請和駕照被凍結,信用級別被清零之類的,而法律目前還不能照管到此類情形。
洛克舉了2013年唐納德·米勒的例子。唐納德·米勒在1986年失業之后拋棄妻子玩失蹤。他的家人在1994年宣布了他的死亡。2005年,他試圖申請駕照,并上訴以證自己還活著。不過,法官駁回了他的申訴。
法官說:“顯而易見。坐在法庭上的這個男人健康狀況良好。我不知道該把你放哪兒,但法律上你依然已經死亡。”BBC報道中補充說明了一條:當地法律規定,死亡時間過去3年后,撤銷死亡證明便是違法。
洛克稱,偽造出生甚至更簡單,只需要醫生和父母簽單就行。偽造出生證明有很多好處,因為可以用于諸如騙取社會保障之類的。
很明顯,這類行為是違法的。基于洛克的觀點,鑒于適當的安全保障如此之少,似乎全世界的政府機構都需要重新考慮一下在線申報填表的遷移了。
原文地址:http://www.aqniu.com/news/9468.html
京公網安備 11010502049343號