3 月 3 日,著名的“资料泄漏猎人”Chris Vickery 在 Twitter 上说自己将在美国当地时间 3 月 6 日(台北时间 3 月 7 日)公布一起“14 亿个身份泄漏大案。”
1.4 billion identity leak story incoming Monday morning. Thanks go to @SteveD3 (and someone else) for cooperating on investigation.
— Chris Vickery (@VickerySec) 2017年3月3日
3 月 4 日他又发了另一条推文,继续卖关子,不过将可能被泄漏的资料量精确到 13.7 亿个。
Teaser screenshot of that DB’s summary data: pic.twitter.com/PEnpJbDZRt
— Chris Vickery (@VickerySec) 2017年3月4日
据了解,由于 Vickery 之前发现不少漏洞,其中甚至包括涉及美国军方和川普竞选团队的 AWS 服务器资料泄漏,因此他的“信誉”很好。在还没正式公布结果前,外界猜测和分析就已铺天盖地。
根据 13.7 亿这一资料量,有人列出一个潜在资讯泄漏者的清单:Facebook、YouTube、微信、腾讯、Yahoo、苹果、微软、Oracle、Salesforce 和 Wayin 纷纷中枪。
甚至外媒 theregister 还大放厥词:
如果这次泄漏不是发生在印度,那么能满足这个泄漏数量的就很有可能是中国了,上周末中国政府正忙于中国人民代表大会,不知道此番资料泄漏是否与会议召开有关。
真相曝光:违法垃圾邮件大揭露
台北时间 3 月 7 日(美国当地时间 3 月 6 日),Vickery 发了一篇文,揭开了 13.7 亿资料泄漏的真相:
一个叫“江城数位媒体”(River city Media)的公司,装成一个合法行销公司,但其实背后由两个知名的垃圾邮件制造者提供业务,每天传送规模 10 亿封的垃圾邮件,堪比一个“垃圾邮件帝国”。
一个错误的副本不经意暴露他们整个工作资料程式库,导致所有用户资料完全曝光,其中包含超过 13 亿 7,000 万个电子邮件位址,并记录一些其余细节,如姓名、真实的位址和 IP。
庆幸的是,虽然这份资料程式库很庞大,但并未包含使用者的密码资讯。
此次事件让一个庞大的垃圾邮件帝国运作方式浮出水面。Vickery 在文中直言不讳地说:“泄漏的内容关乎你我,以及周围的人。”
Vickey 解析,这些资讯可能是透过提供免费服务、抽奖现行等方式收集来的,或是当你点击网页上的“确定”或“我同意”时,旁边有一个勾选框,用很小的文字写着“我愿意和网站共用我的个人资料”,许多人不会注意这些字样。当然,也不排除某些机构使用非法手段收集用户资料。
垃圾邮件商可透过多种方式搜寻并收集邮件位址。比如透过邮件订阅栏目收集邮箱、利用专门的软件抓取网页中的邮箱等。垃圾邮件者通常会使用网页僵尸程式来搜集全网的邮件位址,理论上只要你的电子邮箱在网页上公开暴露过,就多半会被“抓走”,比如这样:
此外,一些即时传讯资料,线上论坛和资讯看板或者其他会员网站的资料,都有可能泄漏你的电子邮件位址。社群网络同样可将你的邮箱公之于众。网站遭遇骇客拖程式库事件频发,也对邮箱资料泄漏起了推波助澜的作用。
这些收集来的电子邮件透过技术手段进行自动化资讯关联、资料筛选。在利益的驱使下进行资料交换、售卖,最终形成一个庞大的资料程式库。
Vickery 指出:
他们 12 个人每天就能传送十亿级别的垃圾邮件,其中显然包含非常多自动化作业、成熟的技术手段,甚至不少非法的骇客技术,比如非法 IP 劫持、Slowloris 攻击等。
经过验证,Vickery 发现此次泄漏的 13.7 亿个资料中,其中一部分相当准确,但也包含一部分过时的旧资料。
目前 Vickery 已向相关执法部门及受影响的公司(如 Google、微软和 Yahoo 等)取得联系,分析资料来源,就泄漏资料的处理方式协商,并考虑如何应对垃圾邮件传送者使用的非法骇客手段。
Vickery 将他揭露此次资料泄漏的文章命名为“一个垃圾邮件帝国的衰败”,他相信此次事件后一段时间内,飞往世界各地的垃圾邮件将大幅减少。
(本文由 雷锋网 授权转载,首图来源:Pixabay)
延伸阅读:
- 一不小心就说漏嘴!自动填写功能被爆有重大安全风险
- Yahoo 又宣布用户资讯被外流,这次波及的是另外 10 亿用户
- 成人交友网站 AdultFriendFinder 被骇,4.12 亿用户资料被泄露
- 历来最严重,Yahoo 遇骇 5 亿用户个资遭窃
- Dropbox 爆个资外泄,这个网站让你确认是否为受害者
