美國警方執法過當引發種族歧視爭議，匿名者宣稱竊得警方電子郵件信箱帳密進行報復，但資安專家發現並非屬實

在5月25日，居住於明尼蘇達州明尼阿波利斯（Minneapolis）的非裔美國人喬治·佛洛伊德（George Perry Floyd），他被白人警察德里克·蕭文（Derek Michael Chauvin）逮捕時，這名警員跪在佛洛伊德的頸部超過8分鐘，導致該名非裔人士當下失去知覺且送醫不治，有民眾將警員壓制的過程在臉書直播，使得此事曝光，引發美國各地民眾嘩然，發起示威遊行，要求當局重視種族歧視問題，並嚴審涉案的警察。這起事件也引發國際駭客組織匿名者（Anonymous）關注，並且採取行動，多次釋出影片，表示執法過當的警員要為此負責，否則要公布明尼阿波利斯警察的諸多罪行。

匿名者先是在28日在臉書上傳影片，表明要對於佛洛伊德遇害的事件有所行動，30日開始，明尼阿波利斯警局的網站無法存取，隔日該組織於推特上表示，此事是他們所為，並且也洩露了警方的電子郵件帳號密碼。然而，根據BankInfoSecurity網站的報導，有資安專家認為，匿名者的宣稱與事實不符。

長期經營帳號密碼外洩資料查詢網站Have I Been Pwned的澳洲資安專家Troy Hunt認為，匿名者透露的訊息並非完全是事實，因為根據他自己架設的網站中，所採用的帳號密碼資料庫進行比對，發現駭客提出的資料其實早就已經外洩，沒有與這起攻擊事件直接相關。他認為各界在群情激憤的情況下，匿名者拿出這些資料，宣稱洩露警方的個資，很容易造成民眾和警方加深對立，引發更嚴重的衝突。因此，Troy Hunt也提出他的發現，來說明匿名者這次的攻擊行動，根本沒有從明尼阿波利斯警局的網站上，偷取電子郵件的帳號和密碼。

I'm seeing a bunch of tweets along the lines of "Anonymous leaked the email addresses and passwords of the Minneapolis police" with links and screen caps of pastes as "evidence". This is almost certainly fake for several reasons:

— Troy Hunt (@troyhunt) May 31, 2020

Troy Hunt指出，匿名者洩露了789組警方的電子郵件帳密，但實際上不重複的帳號只有689個，其中有87個在這組資料裡出現至少2次，有一個出現了7次之多。而這689個電子郵件信箱，有654個已經在Have I Been Pwned的資料庫裡，換言之，約有95％是曾經被洩露的帳號。

再者，大部分的明尼阿波利斯警局電子郵件帳號，還出現在不只一次攻擊事件中。根據Troy Hunt的統計，平均每個帳號已經被曝光5.5次，其中，有38個帳號資料只被洩露一次，最多的是有4個帳號曝光多達14次，換言之，這些資料多半在許多資料外洩事件出現過。附帶一提，他也從自己的推文分析，美國網頁應用程式服務的帳號資料一旦遭到外洩，通常有6成至8成的機率會再度被駭，但這些警局信箱帳號平均遭駭的頻率，還是比一般受害帳號要高出許多。

Troy Hunt分析這些警方電子郵件信箱曾經被洩露的次數，大部分都有出現2次的記錄，其中有4個帳號次數最多，曾出現在14起資料外洩事件。

為什麼這些警員的電子郵件信箱外洩的頻率這麼高？Troy Hunt指出，這些警官的密碼使用習慣，和許多社會大眾一樣差，近9成都是使用極為容易被猜到的密碼，再加上郵件系統管理者沒有要求密碼的強度，允許使用者設定8個全部是小寫字母的密碼，他不只看到像是123456這種懶人密碼，甚至還有只有「le」2個小寫字母的密碼，足見警員們對於密碼的設定可說是極度隨便，也有很多人是設定了像是andrew、maggie，以及martin等常見的人名。