业务领域

新闻中心

当前位置:上海蓝睿商务咨询有限公司 > 新闻中心 >
私家侦探之 惠普
发布人:管理员 发布时间:2017-04-20 点击:114
私家侦探之 惠普

2006年,《新闻周刊》发表了一篇非常有趣的文章(详见
www.social-engineer.org/resources/book/HP_pretext.htm)。故事基
本上是这样的:惠普公司的董事长帕特里夏·邓恩(Patricia
Dunn)女士雇用了一个专业的安全团队,这个团队又雇用了私
家侦探,私家侦探利用“伪装”技术获取了通话记录。这些聘来
的专业人士实际上伪装成了惠普的董事会成员及新闻记者。这
切都是为了找出惠普队伍中可能的泄密者。
邓恩女士希望获得董事会成员和一些新闻记者的通话记录
(不是惠普公司内部的电话记录,而是这些人家中或者手机的通
话记录),来查证她认为可能的泄密者。《新闻周刊》是这样写
的:
5月18日,在加州帕洛阿尔托的惠普总部,邓恩在董事会上扔出了
她的炸弹:她已经找到了泄密者!据在场的惠普董事汤姆·珀金斯
om Perkins)透露,邓恩展示了监视方案并且指出了那个董事,该人
承认他就是CNET的泄密者。那名董事的身份至今还没有向外界透露。
他道了歉,但之后对其他董事说:“我原本打算告诉你们所有的事情
为什么你们没有问过我呢?”珀金斯说,随后那名董事被请出了董事会
议室。
这个事件中值得注意的是那个被称为“伪装”的话题。
惠普的这一事件还将公众的注意力吸引到了安全顾问为获得个人信
息所采用的不合理的手段上。在外部顾问团发给珀金斯的一封内部邮件
中,惠普承认他们通过有争议的“伪装”技术,获得了将那个泄密者和
CNET联系在一起的书面记录。《新闻周刊》获得了这封内部邮件的内
容。美国联邦贸易委员会(FTC)认为这个技术涉及使用“欺骗手段”
来获得他人的非公开信息:通话记录、银行卡和信用卡账号以及社会保
险号等。
就拿案例中的电话公司来说,通常情况下伪装者会将自己伪装成客
户,因为这些公司很少需要你提供密码,伪装者仅仅需要一个家庭住址、
账号和诚恳的请求便能获取账号的详情。FTC的网站披露,伪装者会将
这些信息卖给持证的私家侦探、金融贷款者、潜在的诉讼当事人以及对
配偶有疑心的人,甚至卖给那些试图窃取资产或者骗取信贷的个人
声明,伪装“是违法的”。FTC和若干州的检察长已就涉嫌违反联邦
口各州法律的欺诈、失实陈述及不公平竞争等行为对伪装者进行指控。
惠普公司的董事之一,威瑞森(Verizon)公司的总裁拉里·巴比奥
(Larry Babbio)已经以书面形式提交了打击伪装者的各种措施。
(如果你对具体内容感兴趣,可以在下面的链接中找到2006
年的《电话记录隐私权保护法》:http:∥frwebgate.access.gpo.goV
cgi-bin/getdoc.cgi? dbname=109 cong bills&docid=f:h4709enr.txt.
pdf。)
最终的结果是刑事控诉不仅针对邓恩女士一人,她所聘请的
顾问也被指控。你也许会疑惑:“怎么可能对他们进行指控呢?
他们是签了合同、被雇用来进行这些测试的啊。
很简单,分析一下他们获取信息的途径以及内容,就有了答
案。这些顾问拿到了患普董事会成员和记者的姓名、地址、社会
保险号、通话记录、电话账单记录以及其他一些信息。他们甚至
使用一个记者的社会保险号建立了在线账户,以获取其私人通话
记录。
惠普提交给其律师和内部法律人员的一份机密文件(详见
www.social-engineer.org/resources/book/20061004hewlett6.pdf)的
第32页列出了汤姆·珀金斯和惠普董事会成员的交流内容,其中
包含一些有关伪装的内容。其中用到的部分策略列示如下。
以他们将自己伪装成电信运营公司以非法地获取通话记录。
2使用被调查者的身份来获取他们的私人通话记录。
2利用非法获得的姓名、社会保险号和其他信息建立在线账户
从而获得他们的通话记录。
2006年9月11日,美国众议院能源和商务代表委员会给邓恩
女士发了一封信(详见wwwsocial-engineer.org/resourcey
book/20061004hewlett6.pdf),要求其提供所取得的所有信息。以
下是他们列出的信息类型。
以所有公布的和未公布的电话号码;
2以信用卡账单;
凶客户姓名和地址信息
洲公共事业账单;
圆寻呼机号码;
以手机号码
以社会保险号;
以信用报告;
泌邮政信箱信息;
洲银行账户信息
幽资产信息;
选其他消费信息。
所有这些信息都是采用社会工程领域的灰色方法取得的。虽
说是受雇做这种工作,但是他们所做的事情符合伦理道德吗?许
多专业社会工程人员均不敢越雷池半步。从这一经典案例中,我
们也能吸取一些教训:作为一名专业的社会工程人员,你可以模
仿那些心存恶意的社会工程人员的方法和思维方式,却决不能堕
落到他们那种地步。那群顾问犯的错误是:他们被授权去伪装、
社会工程和审计惠普,但并没有被授权去审计美国电话电报公司
(AT&T)、Verizon公司及公用事业公司等。在伪装的过程中
必须有明确的概要并且规划出哪些法律漏洞可以被利用,而哪些
底线是决不能触碰的。
假如你是一名社会工程审计人员,可以就惠普这个案例展开
关于政策、合同和原则等系列讨论,但这些内容不属于本章的讨
论范围。使用本章所列出的原则有助于你作出决定,而且这些决
定不会让你惹祸上身。
伪装成危险的、怀有恶意的身份盗用者,是社会工程渗透测
试中合法的方式。测试、检查和验证你的客户的雇员不会落入恶
意社会工程人员的陷阱,也可以帮你防御成功的伪装者。

收费标准

案例分析

联系我们

上海蓝睿商务咨询有限公司

24小时咨询热线:

021-34513085

电话:18221346095

Q Q:871441126

地址:上海市徐汇区肇嘉浜路1065号飞雕国际大厦20楼

ADD:Shanghai City, Xuhui District Zhaojiabang Road No. 1065 feidiao International Building

Copyright (c) 2012-2018 上海蓝睿 版权所有 翻版必究 沪ICP备16042055号-1 关键词:上海私家侦探公司 上海调查公司 婚姻调查公司