新年結(jié)束，2019火拼的日子即將到來(lái)。無(wú)論思緒是否還停留在年三十，正坐在電腦面前碼字的你已用現(xiàn)實(shí)行動(dòng)告訴自己——假期余額不足！為安撫大家“回籠”后凌亂的心，上班第一天BOSS領(lǐng)頭為大家“充值”一波。手攥紅包，心中默念：祝自己開(kāi)工大吉~

 

▲開(kāi)工大吉~吧！

相比發(fā)紅包，顯然Dream Market暗網(wǎng)市場(chǎng)這位賣(mài)家慶祝新年開(kāi)工的方式要隆重許多——他決定對(duì)來(lái)自16個(gè)曾被攻擊網(wǎng)站的共6.2億用戶信息進(jìn)行兜售，交易通過(guò)比特幣轉(zhuǎn)賬進(jìn)行，打包售價(jià)不高于2萬(wàn)美元。

16個(gè)“倒霉蛋兒”

那么，這16個(gè)倒霉蛋是誰(shuí)呢？為了讓大家直觀看到兜售信息，編輯整理出如下表格： 

從表中我們不難看出，被兜售的網(wǎng)站信息量最大的是Dubsmash，為1.62億，售價(jià)也達(dá)到了最高的1976美元。而相比之下，信息量達(dá)到1.51億僅次第一名的MyFitnessPal售價(jià)卻遠(yuǎn)不如信息量為9200萬(wàn)的MyHeritage。

雷鋒網(wǎng)得知，這三款應(yīng)用的用途分布在社交、內(nèi)容和健康這三大領(lǐng)域，除了用戶的登錄賬戶及密碼，可以想象其中很可能包括大量的用戶使用習(xí)慣數(shù)據(jù)。從Dream Market暗網(wǎng)市場(chǎng)放出的部分樣本來(lái)看，這些被泄露的隱私信息主要包括用戶姓名、電子郵件地址和密碼等。此外，價(jià)格偏高的信息包還包括用戶的位置信息、個(gè)人詳細(xì)信息以及社交媒體詳細(xì)身份驗(yàn)證信息等，而這其中似乎并不包含用戶的支付及銀行信息。

被售賣(mài)的這6.2億用戶信息全部因?yàn)樵?018年乃至2017年的不同時(shí)間點(diǎn)受到黑客組織攻擊導(dǎo)致了泄露。其中，MyHeritage、MyFitnessPa和Animoto均在2018年首次曝出數(shù)據(jù)泄露，由此推斷此次售賣(mài)的該部分?jǐn)?shù)據(jù)應(yīng)該是一手的。

黑客會(huì)買(mǎi)這些數(shù)據(jù)嗎？

顯然，這些數(shù)據(jù)在常人看來(lái)用途并非很大，但是它們對(duì)于黑客而言卻具有十分大的利用價(jià)值。

目前，該賣(mài)家確認(rèn)至少已經(jīng)有一人購(gòu)買(mǎi)了Dubsmash的數(shù)據(jù)。當(dāng)然，并非所有黑客都對(duì)這些數(shù)據(jù)有很強(qiáng)的購(gòu)買(mǎi)欲。雷鋒網(wǎng)得知，此次兜售的數(shù)據(jù)大多來(lái)自垃圾郵件/消息的用戶群體，賣(mài)家直接發(fā)送電子郵件地址或者發(fā)送垃圾信息進(jìn)行撞庫(kù)。因此，該賣(mài)家對(duì)于此次兜售的價(jià)格定位相對(duì)便宜。

對(duì)于資深黑客而言，可以通過(guò)類似方式自行數(shù)據(jù)的獲取，而此過(guò)程他們不需要花一分錢(qián)。但值得注意的是，賣(mài)家自稱是在通過(guò)網(wǎng)絡(luò)漏洞遠(yuǎn)程代碼執(zhí)行權(quán)限提取了數(shù)據(jù)庫(kù)，并在2018年清洗了該數(shù)據(jù)庫(kù)。也就是說(shuō)，其中的數(shù)據(jù)已經(jīng)被進(jìn)行過(guò)分類和整理，以便買(mǎi)家能夠清楚地選購(gòu)自己想要的信息。

對(duì)此，推特上有不少網(wǎng)友認(rèn)為在暗網(wǎng)上的交易往往是風(fēng)險(xiǎn)重重，也對(duì)于此次信息交易的真實(shí)性提出了懷疑。但實(shí)際上，包含MyHeritage在內(nèi)的廠商證實(shí)了其真實(shí)性，它們認(rèn)為從信息泄露之后的追蹤情況來(lái)看，這批信息被放在暗網(wǎng)上兜售的可能性很大。另外，從暗網(wǎng)交易平臺(tái)來(lái)看，賣(mài)家也更加注重交易的信用成本。簡(jiǎn)單來(lái)說(shuō)，此類交易平臺(tái)更像是暗網(wǎng)中的電商平臺(tái)，其不光有完善的信用體系，商家本身也會(huì)為了留住回頭客而確保自己的信用。

廠商：尚未發(fā)現(xiàn)不當(dāng)行為

上面說(shuō)到，此次兜售的信息中有不少都是2018年泄露的一手?jǐn)?shù)據(jù)。但對(duì)于廠商來(lái)說(shuō)，其泄漏時(shí)間已經(jīng)過(guò)去很長(zhǎng)時(shí)間，對(duì)于這樣被公開(kāi)的信息被放到暗網(wǎng)兜售，網(wǎng)友和廠商的看法也是各不相同。

實(shí)際上，對(duì)于這次兜售事件，外媒第一時(shí)間聯(lián)系了上表中涉及的廠商進(jìn)行情況核實(shí)。其中，MyHeritage發(fā)言人稱：“此次兜售的該公司用戶信息全部來(lái)自2017年的數(shù)據(jù)泄漏事件，目前尚未發(fā)現(xiàn)有不當(dāng)行為出現(xiàn)。公司將對(duì)該賣(mài)家進(jìn)行實(shí)時(shí)追蹤，以防這些數(shù)據(jù)被用于惡意行為?！?/p>

對(duì)于該廠商的回復(fù)，推特網(wǎng)友認(rèn)為這種行為應(yīng)該盡早遏制而不是在一旁靜待安全事件發(fā)生。對(duì)此，雷鋒網(wǎng)和相關(guān)人士請(qǐng)教后得知，暗網(wǎng)平臺(tái)兜售信息的情況時(shí)常出現(xiàn)，對(duì)于已經(jīng)泄露的信息而言，其失去保密性之后對(duì)于廠商來(lái)說(shuō)也就失去了其保護(hù)的意義。但是即便如此，廠商依然有義務(wù)承擔(dān)由于此類信息后續(xù)發(fā)酵導(dǎo)致的泄漏事件發(fā)生的責(zé)任。

“如果信息被賣(mài)家首次竊取進(jìn)行售賣(mài)，那無(wú)疑是侵犯了用戶的安全權(quán)益，但目前的信息基本上都是在2018、2017年已經(jīng)被披露的信息，在兜售行為尚未出現(xiàn)明顯涉及用戶利益的情況下，很難對(duì)此次行為的對(duì)錯(cuò)做出衡量?！?/p>

除了上述廠商，Dubsmash、8fit、Animoto、Artsy均做出答復(fù)稱已經(jīng)將情況告知用戶并在安全防護(hù)方面進(jìn)行了加強(qiáng)管理。

參考來(lái)源：theregister；FreeBuf

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。