新年结束,2019火拼的日子即将到来。无论思绪是否还停留在年三十,正坐在电脑面前码字的你已用现实行动告诉自己——假期余额不足!为安抚大家“回笼”后凌乱的心,上班第一天BOSS领头为大家“充值”一波。手攥红包,心中默念:祝自己开工大吉~
▲开工大吉~吧!
相比发红包,显然Dream Market暗网市场这位卖家庆祝新年开工的方式要隆重许多——他决定对来自16个曾被攻击网站的共6.2亿用户信息进行兜售,交易通过比特币转账进行,打包售价不高于2万美元。
16个“倒霉蛋儿”
那么,这16个倒霉蛋是谁呢?为了让大家直观看到兜售信息,编辑整理出如下表格:
从表中我们不难看出,被兜售的网站信息量最大的是Dubsmash,为1.62亿,售价也达到了最高的1976美元。而相比之下,信息量达到1.51亿仅次第一名的MyFitnessPal售价却远不如信息量为9200万的MyHeritage。
而这三款应用的用途分布在社交、内容和健康这三大领域,除了用户的登录账户及密码,可以想象其中很可能包括大量的用户使用习惯数据。从Dream Market暗网市场放出的部分样本来看,这些被泄露的隐私信息主要包括用户姓名、电子邮件地址和密码等。此外,价格偏高的信息包还包括用户的位置信息、个人详细信息以及社交媒体详细身份验证信息等,而这其中似乎并不包含用户的支付及银行信息。
被售卖的这6.2亿用户信息全部因为在2018年乃至2017年的不同时间点受到黑客组织攻击导致了泄露。其中,MyHeritage、MyFitnessPa和Animoto均在2018年首次曝出数据泄露,由此推断此次售卖的该部分数据应该是一手的。
黑客会买这些数据吗?
显然,这些数据在常人看来用途并非很大,但是它们对于黑客而言却具有十分大的利用价值。
目前,该卖家确认至少已经有一人购买了Dubsmash的数据。当然,并非所有黑客都对这些数据有很强的购买欲。宅客频道得知,此次兜售的数据大多来自垃圾邮件/消息的用户群体,卖家直接发送电子邮件地址或者发送垃圾信息进行撞库。因此,该卖家对于此次兜售的价格定位相对便宜。
对于资深黑客而言,可以通过类似方式自行数据的获取,而此过程他们不需要花一分钱。但值得注意的是,卖家自称是在通过网络漏洞远程代码执行权限提取了数据库,并在2018年清洗了该数据库。也就是说,其中的数据已经被进行过分类和整理,以便买家能够清楚地选购自己想要的信息。
对此,推特上有不少网友认为在暗网上的交易往往是风险重重,也对于此次信息交易的真实性提出了怀疑。但实际上,包含MyHeritage在内的厂商证实了其真实性,它们认为从信息泄露之后的追踪情况来看,这批信息被放在暗网上兜售的可能性很大。另外,从暗网交易平台来看,卖家也更加注重交易的信用成本。简单来说,此类交易平台更像是暗网中的电商平台,其不光有完善的信用体系,商家本身也会为了留住回头客而确保自己的信用。
厂商:尚未发现不当行为
上面说到,此次兜售的信息中有不少都是2018年泄露的一手数据。但对于厂商来说,其泄漏时间已经过去很长时间,对于这样被公开的信息被放到暗网兜售,网友和厂商的看法也是各不相同。
实际上,对于这次兜售事件,外媒第一时间联系了上表中涉及的厂商进行情况核实。其中,MyHeritage发言人称:“此次兜售的该公司用户信息全部来自2017年的数据泄漏事件,目前尚未发现有不当行为出现。公司将对该卖家进行实时追踪,以防这些数据被用于恶意行为。”
对于该厂商的回复,推特网友认为这种行为应该尽早遏制而不是在一旁静待安全事件发生。对此,宅客频道和相关人士请教后得知,暗网平台兜售信息的情况时常出现,对于已经泄露的信息而言,其失去保密性之后对于厂商来说也就失去了其保护的意义。但是即便如此,厂商依然有义务承担由于此类信息后续发酵导致的泄漏事件发生的责任。
“如果信息被卖家首次窃取进行售卖,那无疑是侵犯了用户的安全权益,但目前的信息基本上都是在2018、2017年已经被披露的信息,在兜售行为尚未出现明显涉及用户利益的情况下,很难对此次行为的对错做出衡量。”
除了上述厂商,Dubsmash、8fit、Animoto、Artsy均做出答复称已经将情况告知用户并在安全防护方面进行了加强管理。
参考来源:theregister;FreeBuf
戳蓝字查看更多精彩内容 探索篇 ▼ 真相篇 ▼ 人物篇 ▼ 更多精彩正在整理中…… |
---
“喜欢就赶紧关注我们”
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
长按下图二维码并识别关注