又捅婁子？華爾茲等人被曝支付軟件好友列表一直對外公開

【文/觀察者網 邵昀】

美國國家安全委員會的“羣聊泄密門”持續發酵之際，一些牽扯其中的特朗普政府高級官員似乎還沒能吸取教訓。26日，美國總統國家安全事務助理邁克爾·華爾茲又被曝其支付軟件賬號好友列表也一直向外公開，在美國國內引發爭議。

此外，華爾茲與防長赫格塞思等其他參與“羣聊泄密門”的國安高官還被德媒發現，其手機號碼、電子郵件地址乃至部分賬號密碼都在網上公開可查，埋下隱患。專家稱，利用這類數據，黑客足以向這些政客發起“令人信服的網絡釣魚攻擊”。

據美國《連線》雜誌網站26日報道，其審查發現，一個高度疑似華爾茲本人正在使用的Venmo（美國移動支付軟件）賬號，一直未能將其好友列表設為隱私狀態。這也意味着表中眾多與他有聯繫的政府官員、媒體人等的名單始終處於公開狀態。直到26日下午《連線》向白宮提出問詢後，其訪問權限才被匆忙關閉。

報道説，該賬號與華爾茲同名，且使用他本人頭像，長達328人的好友列表包括美國多名國家級、州級政治人物，如現任白宮辦公廳主任蘇茜·懷爾斯、得克薩斯州眾議員丹·克倫肖；各路媒體主播、國安條線記者、電視台製作人、軍火企業高管；以及一些普通賬户，如與華爾茲相熟的醫生、房地產經紀人和裁縫。

懷爾斯可以説是名單中最引人注目的一個。身為白宮幕僚長，她被美媒稱為美國總統特朗普“最信任的政治顧問之一”，但她也和華爾茲一樣沒有關閉好友列表訪問權限。懷爾斯的182人好友列表中包括不少有影響力的人物，如美國司法部長帕姆·邦迪、特朗普上個任期內的白宮通訊主管霍普·希克斯等。

當地時間2月5日，懷爾斯（右一）和華爾茲（右二）在白宮橢圓形辦公室，這張照片因懷爾斯看向特朗普（左一）的眼神而在社媒走紅 外媒

據介紹，Venmo在新用户註冊賬號時，會提示用户同步手機聯繫人，自動將通訊錄中已使用Venmo的聯繫人添加為好友。《連線》援引專家分析説，有心之人很容易利用這些聯繫人的名單偽造身份，或是獲取未公開信息（如當事人是否秘密接受某種疾病治療），從而“達到各種目的”。

報道舉例説，為破壞伊朗核計劃，美國和以色列曾在伊朗核設施電腦系統埋入蠕蟲病毒，當時被動手腳的就是高級官員身邊的控制工程師的U盤，而非高官本人的U盤。

“你首先想到的是反間諜問題，對嗎？還有安全漏洞。”前情報分析師、現約翰·霍普金斯大學情報分析碩士項目的主管兼高級講師邁克爾·阿德（Michael Ard）説，“這在某種程度上有點令人難以置信。”

另據德國《明鏡》週刊網站27日披露，華爾茲、國防部長赫格塞思和國家情報總監加巴德的手機號碼、電子郵箱地址等也已被泄露到公開的網絡平台。

報道稱，在向一家“商業聯繫人信息提供商”提供赫格塞思的領英頁面鏈接後，記者“很容易”就收到了對方發送的、這名前福克斯新聞台主播的Gmail郵箱和手機號碼等個人信息。通過黑客多年前泄露到網絡的資料，甚至可以找到其中一些賬號的關聯密碼。

這家“商業聯繫人信息提供商”提供的手機號碼還指向一個最近才刪除的WhatsApp（美國社交聊天軟件）帳户。經面部識別軟件比對，其個人資料照片與赫格塞思一致。

左為赫格塞思公開照片，右為《明鏡》週刊公開的WhatsApp賬號頭像

報道説，通過同一家“商業聯繫人信息提供商”，也可以找到華爾茲的手機號碼和郵箱地址。在收到華爾茲的手機號碼後，記者發現他的號碼在美國流行的人物搜索引擎上也有公開。順着號碼和郵箱，又可以找到華爾茲的Microsoft Teams、領英、WhatsApp和Signal資料。此外，記者還在黑客泄露的數據庫中找到了與華爾茲的郵箱地址關聯的多個密碼。

相比兩名同事，《明鏡》週刊稱，加巴德似乎更為謹慎。她的個人數據顯然在前述“商業聯繫人信息提供商”的數據庫中被屏蔽了，但也可以在維基解密和社交平台Reddit上找到她的郵箱地址。加巴德的郵箱地址出現在10多個黑客數據庫中，其中一個還披露了部分她的電話號碼。在補全後，該號碼指向了一個仍在使用的WhatsApp和Signal賬户。

信息安全、信息獲取和社會工程學專家唐納德·奧特曼（Donald Ortmann）表示，利用這類數據，黑客足以向這些政客發起“令人信服的網絡釣魚攻擊”，或是利用網上公開的圖片和音頻進行“深度偽造”，偽裝政客身份參與線上會議。此外，被盜用的賬户還可能被用於“安裝惡意軟件、監聽通信和政治勒索”。

上述情況一經公開，美國《新聞週刊》27日説，已在美國引發抨擊。政治評論員布賴恩·克拉森斯坦（Brian Krassentein）稱這是“又一次魯莽的安全漏洞”。美國媒體事務高級研究員馬修·格茨（Matthew Gertz）則表示，怎麼會有政界人士“愚蠢到……公開他們的Venmo賬號”。

值得一提的是，這並非首次有美國政府高級官員被發現將其Venmo好友列表設為公開可見。除了最新被曝的華爾茲和懷爾斯，美國副總統萬斯、赫格塞思以及前總統拜登都曾踩過這個“坑”。事實上，正是在2021年美媒發現可以通過好友列表在Venmo上輕鬆找到拜登賬號後，Venmo才推出了好友列表隱藏功能。

不過，此次曝光正值前不久美媒披露另一起“Signal泄密門”，格外引發美媒關注。《連線》直言，這表明“Signal泄密門”並不是一次孤立事件，而是“特朗普政府中一些最有權勢的人魯莽行為的更廣泛模式的一部分”。

本週一（24日），美國《大西洋》月刊主編傑弗裏·戈德堡曝光，華爾茲曾將“外人”拉入美政府高層討論襲擊也門胡塞武裝的Signal聊天羣，提前泄露了美軍的空襲計劃，引發國際社會關注。特朗普政府官員25日就此事接受參議院質詢，聽證會現場火藥味十足，民主黨參議員輪番炮轟，要求涉事官員引咎辭職。

截至目前，特朗普和白宮一直主張官員們在羣聊中沒有討論任何機密信息，不應對此負責或道歉，並指責以此攻擊特朗普政府的人是在進行“政治迫害”。但美國進步派媒體Meidas Touch主編羅恩·菲利普科夫斯基（Ron Filipkowski）26日分析認為，身陷多起國安疑慮風波的華爾茲這下可能會激怒特朗普。

本文系觀察者網獨家稿件，未經授權，不得轉載。