以色列网络武器交易商NSO Group遭遇内部人劫案，一名仅加入公司90天的员工拷贝了“天马”(Pegasus)间谍软件，并在暗网上挂出5000万美元高价售卖。

白帽网络安全行业，具体讲就是以色列网络安全公司NSO Group，经历了员工背信弃义事件。

说起来就好像科幻剧集似的，刚加入公司不到3个月的员工拷了Pegasus就离开公司，在暗网上明码出售，售价还高达5000万美元。NSO简直不敢相信自己作为一家网络安全公司竟然也会有此遭遇。

上一次网络武器开出天价在暗网售卖，还是影子经纪人开玩笑似的叫价5亿美元卖NSA网络武器工具集了。

　　Pegasus是什么？

Pegasus是包含恶意软件在内的一套工具，明面上说的是禁供政府用于合法窃听项目。2016年8月的一篇《福布斯》文章曾如此描述：“NSO创建了世界上最具侵入性的手机监视工具包。”使用Pegasus可以通过短信植入恶意软件，让iPhone为审查敞开大门。iMessage、Gmail、Viber、Facebook、WhatsApp、Telegram和Skype通信内容无一幸免。

据传墨西哥就用Pegasus监视记者，阿拉伯联合酋长国则用Pegasus监视并起诉不同政见者。以色列政府、国防部国防出口控制署监管着Pegasus的销售情况。

　　现在谁拿着Pegasus？

目前尚无任何证据表明Pegasus买卖已成交，也没有任何信息透露出那名员工曾将该软件副本分享给他人。

被问及Pegasus是否已因该前员工的行为而流出失控时，NSO向以色列媒体《环球报》透露：“盗取公司内部信息的行为通常难以预防和发现，但本公司迅速发现了该盗窃尝试，立即展开调查并识别出了相关人员。很短的时间内警方便根据本公司提供的罪证逮捕了那名员工。”

　　心怀怨恨的员工

《环球报》报道，尽管NSO的声明并未提供发现该内部人行为的具体时间线，但起诉书中详细阐述了那名员工背叛公司的原因，揭示出数据丢失预防(DLP)工具仅在你真正启用的情况下才有效。

该员工的姓名尚未披露，但可以确定是一名现年38岁的男性，于2017年11月加入NSO，任职该公司自动化团队高级程序员。2018年2月，入职3个月后，他因业绩不佳而被领导召去谈话。

他是否被劝退或被放入业绩改善计划我们不得而知，目前唯一清楚的一点是：散会后他回到了自己的工作台，开始搜索规避安全软件(DLP)的方法。起诉书中描述了该员工中断安全软件并下载Pegasus相关文件的方法。他在自己的工作站上将文件拷贝到U盘上并带出了公司。

然而，他的潜在买家通知了NSO，搅黄了他的Pegasus暗网售卖计划。NSO报了警，以色列国家安全局介入，21天内就逮捕了这名前员工。

事情说到这儿，我们难免想要知道该雇员到底有没有成功禁用了NSO的DLP解决方案，或者是不是DLP发出了警报但是被安全团队忽视了。

虽然以色列国防部国防出口控制署监管着相关软件的售卖情况，确保只会卖给不对以色列造成威胁的人，但也应警惕Pegasus会不会落入非国家黑客或敌对国家之手。

鲜明的案例摆在眼前，每家公司企业或许都该扪心自问：

　　公司有没有在监视新员工的内部访问情况？

　　当员工出现业绩问题，公司内部人威胁预防团队能知道相关情况吗？

(责任编辑：安博涛)