去年四月,美国多个城市发生了一起看似愚蠢的网络攻击事件,黑客利用行人过街按钮的默认密码,远程上传了科技大佬的伪造音频。这起事件虽然像一场恶作剧,却暴露了公共基础设施中普遍存在的严重网络安全漏洞。其核心问题在于,设备制造商为了便利而使用了简单且公开的默认密码,而地方政府在采购和管理这些技术时,也未能充分重视数字安全,最终导致系统轻易被入侵。
一场离奇的网络攻击
在硅谷、西雅图和丹佛等多个城市,当行人按下过街按钮时,听到的不再是标准的提示音,而是被篡改的音频。
- 伪造的扎克伯格声音宣称要将人工智能“强行”植入人类意识,并庆祝其“破坏民主”。
- 伪造的马斯克声音形容特朗普“其实非常温柔可爱”,或抱怨自己“很孤独”。
- 伪造的贝索斯声音则恳求“不要对富人征税”,否则他们都会搬走。
这起事件让相关城市的官员感到尴尬,并立刻着手调查安全问题。但由于按钮系统不记录上传者信息,监控录像也未能提供线索,警方最终未能找到黑客。
暴露的漏洞:公开的默认密码
调查很快就锁定了问题的根源:按钮制造商 Polara Enterprises 的设备存在明显的设计缺陷。
- 简单的默认密码:Polara 的蓝牙设备出厂时,默认密码是广为人知的 “1234”。
- 公开的操作指南:任何人都可以通过公开的应用程序和官方手册视频,了解到如何连接设备并上传自定义音频。
- 早有警告:早在事件发生前八个月,一位网络博主就发布视频指出了这个漏洞,并半开玩笑地警告人们不要去尝试。
我个人认为这是一次理想的恶作剧。它没有伤害任何人,但确实吸引了公众的注意力,让人们开始讨论一个重要的社会问题。
混乱的应对与迟来的补救
事件发生后,受影响的城市和制造商开始亡羊补牢,但初期的反应显示出他们对此毫无准备。红木城市当时的城市经理甚至在邮件中追问:“我们到底应该追究谁的责任?”
各方采取的补救措施包括:
- 西雅图:为每个按钮设置了唯一的密码,并与 Polara 建立授权员工名单,防止他人冒充城市官员获取信息。
- 丹佛:在按钮被篡改后,承诺未来将“立即更改出厂默认密码”。
- 制造商 Synapse ITS(Polara 的母公司):推出了更强的密码要求和额外的验证步骤,并考虑为设备增加唯一的默认密码或额外的 PIN 码。
然而,一名前联邦公路管理局的网络安全官员指出,尽管事件登上了全球头条,但一些城市显然没有吸取教训,导致了后续在丹佛发生的类似事件。
事件的真正教训
这起看似滑稽的黑客事件,揭示了一个更深层次的问题:政府在采购和部署新技术时,严重忽视了网络安全条款。
城市需要在与供应商和安装商的合同中,更好地嵌入网络安全条款,尤其是在人工智能工具和强大传感器越来越多地融入交通基础设施的今天。
例如,事发时,红木城与其供应商的合同只要求其“尽到合理的努力和最佳判断”,但完全没有具体规定密码或数字安全方面的内容。这起事件成为了一个代价高昂的提醒,即便是最不起眼的公共设施,也必须从一开始就建立起严格的安全协议。