16家國外網站近6.2億使用者資訊被掛暗網出售
前言
近日,一個名為Dream Market暗網市場上掛出了6.2億使用者資訊,交易通過比特幣轉賬進行,售價不高於2萬美元,該賣家宣稱這些資料來自16個被攻擊的網站:
Dubsmash(1.62億)、MyFitnessPal(1.51億)、MyHeritage(9200萬)、ShareThis(4100萬)、HauteLook(2800萬)、Animoto(2500萬)、EyeEm(2200萬),8fit(2000萬)、Whitepages(1800萬)、Fotolog(1600萬)、500px(1500萬)、Armor Games(1100萬)、BookMate(800萬)、CoffeeMeetsBagel(600萬)、Artsy(100萬)和DataCamp(70萬)。
從放出的部分樣本來看,包含的使用者資訊有效性很高,主要有帳戶持有人姓名、電子郵件地址和密碼等資料。密碼經過雜湊處理或單向加密,因此必須先破解才能使用。根據來源網站的不同,某些資料還包含位置、個人詳細資訊和社交媒體身份驗證資訊等內容,而付款或銀行卡詳細資訊不在其中。
潛在買家
目前掛出這些資料的賣家僅有一個,該賣家自稱通過網站漏洞獲得遠端程式碼執行許可權後提取了資料庫,2018年已經洗過這些資料,這次是在暗網首次開賣。
從放出的資料型別來看,最有可能的買家是傳送垃圾郵件/訊息的群體,根據電子郵件地址直接傳送或者拿去其他網站撞庫之後傳送垃圾資訊,或許這也解釋了售價相對便宜的原因。
截止發稿時,至少有一人已經購買了Dubsmash的資料。而MyHeritage、MyFitnessPa和Animoto三家公司在去年通知過使用者資料洩露的情況,也就是說如果本次售賣的資料庫是真實有效的,那麼這些資訊應該是一手的。
資料的真實性
MyHeritage發言人證實,該賣家現在出售的資料庫樣本是真實有效的,這些資料是2017年10月從其伺服器洩露的,公司已在2018年發出通報。
賣家在按網上掛出資料後即刻通知了上述網站中的6個:Dubsmash、Animoto、EyeEm、8fit、Fotolog和500px。上週末,該地下交易網站遭到DDoS攻擊,本週一恢復後增加了剩下的網站,外媒The Register根據網站列表聯絡了賣家和網站方面,得到的資訊如下:
Dubsmash
資料量:161,549,210
售價:0.549 BTC(1,976美元)
Dubsmash是一款頗受年輕人歡迎的視訊訊息應用,目前未公開披露安全漏洞資訊,洩露的資料包含:使用者ID、SHA256密碼、使用者名稱、電子郵件地址、語言、國家/地區以及一些(但不是所有使用者)名字和姓氏資訊。
Dubsmash聘請了律師事務所Lewis Brisbois來調查暗網上的資料售賣事件,後者表示:
我們在這個問題始終全力協助Dubsmash。相關調查已經展開,我們計劃在適當的時候通知所有相關方和個人。
500px
資料量:14,870,304
售價:0.217 BTC(780美元)
500px是一個面向攝影師和攝影愛好者的社交網站,目前未披露安全漏洞的資訊。洩露的資料包含:使用者名稱、電子郵件地址、MD5-或SHA512-或bcrypt-hashed加密的密碼、名字、姓氏、生日、性別、國家、城市和Facebook ID 。
500px發言人Stephanie Newell表示:
我們的工程團隊正在進行調查,如果確認存在違規行為,我們將採取必要措施,按照GDPR標準通知使用者。
EyeEm
資料量:22,360,765
售價:0.289 BTC(1040美元)
EyeEm是面向攝影師的線上聊天應用,本次洩露的資料包括電子郵件地址和SHA1i加密的密碼。
EyeEm沒有回覆記者的問題。
8fit
資料量:20,180,667
售價:0.2025(728美元)
8fit致力於為健身愛好者提供個性化的鍛鍊和飲食計劃,目前未披露安全漏洞的資訊。洩露的資料包含:電子郵件地址、加密密碼、國家/地區程式碼,Facebook身份驗證令牌、Facebook個人資料圖片、姓名、性別和IP地址。
8fit執行長Aina Abiodun表示正在進行調查,目前不能提供更多資訊。
Fotolog
資料量:16,000,000
售價:0.52(1872美元)
Fotolog也是一個面向攝影領域的社交網站。在2018年12月洩露了5.9GB的資料,包括5個SQL資料庫,有電子郵件地址、SHA256雜湊密碼、安全問題和答案、全名、位置、興趣和其他配置檔案資訊。
Fotolog沒有回覆記者的問題。
Animoto
資料量:25,402,283
售價:0.318(1144美元)
該公司在2018年首次披露了相關安全漏洞,當時有2.1GB的資料遭到竊取,包含使用者ID、SHA256密碼、金鑰、電子郵件地址、國家/地區、姓名和出生日期等資訊。
Animoto發言人告訴記者:
在發現系統有異常活動後,我們在2018年8月通知了可能受影響的客戶。在確定可疑活動後,我們立即將系統離線並部署了多項安全控制措施防止此類事件再次發生。
MyHeritage
資料量:92,284,478
售價:0.549(1976美元)
MyHeritage是一款家庭樹跟蹤服務,用於研究使用者的基因概況。該公司在2018年披露了一起2017年10月發生的資料洩露事件,共有3.6GB資料被竊取,包含電子郵件地址、SHA1密碼以及建立帳戶的日期,使用者的基因等敏感資訊沒有洩露。
MyHeritage發言人表示:
此次按網上售賣的我司資料全部來自於2017年的資料洩露事件,沒有新的違規行為發生。我們將立即對此進行調查並向當局報告銷售情況,以便當局可以追蹤賣家。我們還沒有看到任何證據表明資料已經用於惡意行為。
MyFitnessPal
資料量:150,633,038
售價:0.289(1040美元)
MyFitnessPal是一款飲食和運動跟蹤應用,去年該公司披露過一個安全漏洞。本次洩露的資料包含:使用者ID、使用者名稱、電子郵件地址、SHA1密碼和IP地址。
該公司沒有回覆記者的問題。
Artsy
資料量:1,070,000
售價:0.0289(104美元)
Artsy是一款面向藝術領域的應用,本次洩露的資料包含:電子郵件地址、名稱、IP地址、位置和SHA512密碼。
該公司沒有回覆記者的問題。
Armor Games
資料量:11,013,617
售價:0.2749(988美元)
Armor Games是一個瀏覽器遊戲的入口網站,擁有大量的使用者。本次洩露的資料來自於2018年12月的一次安全事件,共有1.8GB資料遭到竊取,包含:使用者名稱、電子郵件地址、SHA1密碼、出生日期、性別、位置和其他個人資料詳細資訊。
該公司沒有回覆記者的問題。
Bookmate
資料量:8,026,992
售價:0.159(572美元)
Bookmate是一款電子書應用,本次洩露的資料包含:使用者名稱、電子郵件地址、SHA512密碼、性別、出生日期和其他個人資料詳細資訊。
該公司沒有回覆記者的問題。
CoffeeMeetsBagel
資料量:6,174,513
售價:0.13(468美元)
CoffeeMeetsBagel是一個線上約會網站,本次洩露的資料來源於2017年12月洩露的673MB資料,包含全名、電子郵件地址、年齡、註冊日期、性別以及SHA256密碼。
CoffeeMeetsBagel的一位發言人表示:
目前尚未發現違規情況,但我們的安全團隊現在正在調查這個問題。CoffeeMeetsBagel不儲存密碼,使用第三方網站,如Facebook進行身份驗證。很可能這些洩露的資訊可以追溯到網站開始使用Facebook登入之前的步驟。
DataCamp
資料量:700,000
售價:0.013(46.8美元)
DataCamp是一款面向教師的科學和程式設計工具,本次洩露的資料包含電子郵件地址、bcrypt-hashed密碼、位置和其他配置檔案詳細資訊。
該公司的發言人告訴記者:
“我們認真對待此事,並希望進一步驗證該事件是否屬實。我們還將研究訪問和稽核日誌,看看是否可以追溯到任何潛在的未經授權訪問事件。如果確實進一步調查顯示這些資料是真實有效的,我們將與您和受影響的終端使用者進行溝通。
Hautelook
資料量:28,000,000
售價:0.217(780美元)
Hautelook是一款網上商城應用,專營時尚配飾產品。本次洩露的資料來源於2018年的安全事件,當時共有1.5GB檔案遭到竊取,包含電子郵件地址、bcrypt-hashed密碼和名稱資訊。
該公司沒有回覆記者的問題。
ShareThis
資料量:41,028,098
售價:0.217(780美元)
ShareThis是連結分享的小應用。本次洩露的資料來源於2018年7月的安全事件,當時共有2.7GB檔案遭到竊取,包含姓名、使用者名稱、電子郵件地址、DES密碼、性別、出生日期和其他個人資料資訊。
該公司沒有回覆記者的問題。
Whitepages
資料量:17,775,679
售價:0.434(1560美元)
Whitepages是一款線上電話和地址收錄應用。本次洩露的資料來源於2016年安全事件,當時共有2.9GB內容遭到竊取,包含電子郵件地址、SHA1-或bcrypt-hashed密碼以及名字和姓氏。
該公司沒有回覆記者的問題。
賣家告訴The Register:
有多達20個數據庫可以線上轉儲,同時保留一些資料庫供私人使用,並且自2012年開始網路攻擊以來,我已經從各個伺服器提取了大約10億個帳戶。我不是壞人,讓黑客“生活更輕鬆”是我的目標。安全只是一種幻覺,很久以前我就開始網路攻擊,而且只使用一些系統工具。
*參考來源: The Register ,Freddy編譯整理,轉載請註明來自 FreeBuf.COM。