衛報的SecureDrop匿名爆料平台遭網釣駭客鎖定

暗網研究人員Sh1ttyKids在上周末發現，衛報（The Guardian）的SecureDrop匿名爆料平台遭到網釣駭客鎖定，駭客建立了一個假冒為衛報的SecureDrop平台，以騙取爆料者的代號，還在網釣頁面上推銷一個惡意的Android程式。

由自由新聞基金會（Freedom of the Press Foundation）代管的SecureDrop，是一個強調安全及加密傳輸的自由軟體平台，每個新聞組織都能利用SecureDrop建立自己的匿名爆料平台，以保護爆料者的身分並保障安全通訊，它支援包括正體中文在內的18種語言，包括衛報、華盛頓郵報與The Intercept都採用了該平台。

在衛報的SecureDrop平台上，當爆料者傳送一份檔案之後，就會收到一個可用來登入並與衛報記者溝通的代號，該代號可作為爆料者的身分識別，也能檢視與記者之間的通訊紀錄。

而駭客所設立的網釣網站即是為了竊取爆料者的代號，之後即可冒用爆料者的身分登入，與衛報記者交流或檢視通訊紀錄。

資安新聞網站Bleeping Computer則與其它資安研究人員合作，進一步探索了網釣頁面所推銷的Android程式，結果發現此一標榜為可隱藏爆料者位置的Android程式，實為一遠端存取木馬程式，能夠來監控爆料者的活動、所在地、通話、文字、拍照、執行其它命令，或是竊取裝置上的資料。

雖然在Sh1ttyKids揭露該網釣頁面之後沒多久，該頁面即被下架，但資安專家依然擔心可能已有爆料者的代號曝光或安裝了惡意程式。