导语:日常生活中,我们如果有什么不懂的问题,很自然的会Google或百度一下,Google或百度现在已经成为了搜索的另一种称呼,今年发生了许多账号泄露和酒店信息泄露的事件,我想你现在一定非常想知道你的账号是否被泄露了,那你应该去哪里才能搜
日常生活中,我们如果有什么不懂的问题,很自然的会Google或百度一下,Google或百度现在已经成为了搜索的另一种称呼,今年发生了许多账号泄露和酒店信息泄露的事件,我想你现在一定非常想知道你的账号是否被泄露了,那你应该去哪里才能搜索到这些被盗的信息呢?去Google或百度吗?我想Google或百度目前的搜索还不可能这样专业。所以这个时候,我们就需要使用像数据泄露索引服务公司LeakedSource和Have I Been Pwned这样的专业搜索服务了。
LeakedSource主页面
Have I Been Pwned主页面
截至目前, LeakedSource的数据库总共收集了超过30亿被黑客攻击的泄露账户信息。
2016年是数据泄露的爆发元年,各种泄露事件层出不穷,泄露的数据量级也越来越大,转眼2018就快要过完了,在比较有名的这些社交网站和网络服务公司中,你还记得有哪些公司的数据被黑客入侵过,有哪些没有?由于人总是容易忘却的,一些在当时轰动一时的信息泄露事件随着时间的推移,不论是公司还是个人都很难跟踪到那些泄漏的具体数据了,并且由于用户经常在多个网站和服务使用相同的登录信息,受害者往往很难确定自己哪些账号信息已经泄露,需要更改哪些信息。为了解决这个问题,一些泄露账户信息的一站式聚合网站就出现了。像LeakedSource和Have I Been Pwned这样的工具就可以帮助我们查询这些被泄露的信息,让公司能够查找的具体的信息然后查缺补漏。
LeakedSource是一个黑客数据检索引擎,它会提供一种基本的服务,不管是公司还是个人都可以在该平台注册和搜索黑客数据库,LeakedSource会向用户以电子邮件的形式通知信息泄露的消息,这些都是免费的,但该平台还提供了更加高级的黑客数据库搜索功能,这个就需要收费了,另外LeakedSource还为企业提供了付费服务,就是当注册的企业的数据发生泄漏时,它可以提醒企业,让他们提醒那些具体的受到黑客攻击影响的用户,这个收费服务开始于2015年年底。LeakedSource的发言人称,已在2016年初发布总计20-30个被黑客攻击过的网站的数据,大约1.05亿条。
LeakedSource的发言人表示:
我们最初开始这个项目的时候,是因为很多公司是不告诉用户他们的信息被黑客攻击了,另一方面95%被黑客攻击过的公司都没有注意到他们被人攻击了,因为公司不会时时刻刻都盯着数据库的后台。有了这个专门揭露黑客数据的搜索平台后,一旦某个平台被攻击后,不论是个人还是团体,都可以在这里迅速的跟踪他们帐户中的哪些帐户被盗,公司的哪些数据已失窃。至少,可以帮助他们跟踪到哪些密码容易被攻破,提示他们进行密码更改。LeakedSource也允许人们看到具体的关联数据,如他们失窃的电话号码是否和他们的名字进行了关联。这么多的信息反馈,甚至连用户当时注册的时候都未必注意过。
LeakedSource的发言人接着说:
我们的平台维护人员来自世界各地,其中很多都是兼职,有的还在学校上学,但他们都在运营平台,管理数据库和分析数据,现在还没有人知道LeakedSource的服务器位于哪?因为这样就可以防止黑客攻击我们。
除了LeakedSource之外,还有“Have I Been Pwned”,“Have I Been Pwned”搜索网站成立已经5年了,2016年安全研究人员Troy Hunt想为全世界的安全人员带来点福利,于是决定把网站的绝大部分数据共享出来。
Hunt表示分享这些数据是为了研究人员做分析,不想给任何人带来风险。由于担心有人受到伤害,Hunt去掉了数据集中的三项敏感信息:
1.所有的个人身份信息;
2.所有账户的域名;
3.所有敏感的数据泄露信息。
Hunt表示:
现在,我正在构建一个平台,以快速整合未来数据泄露的信息,并让可能受影响的用户可以快速搜索这些信息,帮助用户来应对未来的数据泄露事故。我们这么做就是要强迫那些信息泄露的公司要对他们的用户负责,而不是通过媒体泛泛的表示公司的数据泄露了等不负责任的做法。
LeakedSource和Have I Been Pwned网站都聚合了多起安全泄露事故中泄露的账号信息,而不只是只针对于特定的事件。比如LeakedSource就有交友网络(Friend Finder Network)网站20年来的信息。LeakedSource和Have I Been Pwned网站的功能基本类似,就是让潜在的受害者可以查询电子邮件地址(没有存储密码信息),然后该网站会确定这个地址是否在泄露账号信息数据库中。
不过对于LeakedSource和Have I Been Pwned这样的网站,还有企业有反对的声音,2016年8月,LeakedSource就报道过黑客利用vBulletin论坛中存在的多个SQL漏洞,对其发动了攻击,并泄露了来自10多个网站中约2700万用户的个人信息。事后Mail.ru公司的发言人这样说道:
在事件原因尚未水落石出之时,我们已经发现有大量的媒体在报道此事,使我们公司陷入到了舆论大众口诛笔伐的漩涡之中,影响极其恶劣。而爆料人正是LeakedSource公司。现在,广大媒体都在奉行着这样一个潜规则,即:有些数据服务公司在公开披露一个安全漏洞之前,不是先通知相关的服务商,要求其进行修复;而是将自己所掌握的信息迅速爆料给媒体,让其大肆报道,毫不顾及相关公司的感受和利益。这对每一家IT公司的名誉都会造成不可估量的影响。而正是由于有类似于LeakedSource这样的公司存在,使得这种潜规则横行。现在,全球范围内的很多白帽黑客也开始效仿他们的这一做法了。
所以像LeakedSource和Have I Been Pwned这样的商业模式是否道德还有待进一步观察,除了道德之外,它们还受到了来自其它方面的怀疑,比如平台如何盈利的问题,是否涉及披露机密信息,是否与执法机构进行合作等。对此我们一一进行了分析,在何盈利的问题上,LeakedSource和Have I Been Pwned的产品会向用户提供个性化的关联数据,满足了用户的好奇心,比如用户可能会花费几美元来检测一下他们的哪个用户名被泄露了或哪个电子邮件被攻击了,但是安全咨询公司Casaba Security的首席科学家John Michener却表示:
这样的具体信息查询,也可能为黑客提供了另一个查询个人信息的渠道,帮助犯罪分子进一步利用泄露的信息就行犯罪,另外LeakedSource这样的公司在某种程度上是利用泄露的公共信息来盈利,然而让安全问题更糟。
在是否涉及披露机密信息这个问题上,LeakedSource的发言人表示:
在任何情况下,我们都不会销售用户在其网站上搜索的数据。而且我们发布的数据都是已经公开的被盗窃信息,另外,我们的做法是完全非政治性的,如果人们要了解那些泄露的机密信息还是去维基解密吧。
安全咨询公司Casaba Security的首席科学家John Michener表示:
LeakedSource和Have I Been Pwned网站基本上试图以靠买卖敏感信息来赚钱,这会进一步加剧黑客的攻击,另外,这些信息如何卖给执法机构,则情况会更糟。
但LeakedSource的发言人表示:
我们会把这些泄露的数据存储在折中的数据库中。
不过事情并不像LeakedSource的发言人说的那么光明,2016年10月LeakedSource本身也被黑客给攻击了,一位名叫“Chris Poole”(@ codingplanets)的用户在pastebin上发表了一份帖子并在帖子中声称自己成功入侵了Leakedsource.com的两台网络服务器。他不仅在其网络系统中发现了该网站用于记录用户搜索信息的日志,而且还发现该网站的支付系统中存在安全问题。除此之外,他还获取到了该网站用于存储用户资料的数据库内容。
对此LeakedSource的支持者Netsparker(一个便于使用的Web应用漏洞扫描工具,可以爬行、攻击并识别各种Web应用中存在的漏洞)公司的营销经理Robert Abela表示:
他们并没有做什么非法的行为,他们这样做只是想为他们的用户提供更好的服务。
总的来说,像LeakedSource和Have I Been Pwned这样的平台并不是想利用泄露的数据来赚取多少利润,而是想整合那些已经被泄露的信息,让个人方便的查询自己账户信息的安全状态,用Hunt 话来说就是:
现在,攻击者和其他想要利用数据泄露事故的人能够迅速获得和分析数据,但一般用户却不能轻松地获取千兆字节的压缩账户信息,以确定他们的信息是否被泄露,所以现在,我正在构建一个平台,以快速整合未来数据泄露的信息,并让可能受影响的用户可以快速搜索这些信息,帮助用户来应对未来的数据泄露事故。
我相信这样的特殊化服务在将来大家极其重视安全的年代一定很有发展前景,相信你也迫不及待的想检查一下自己的账户是否安全?
据cnbeta的一则9月的报道,Mozilla正式推出了一个名为Firefox Monitor的独立隐私数据泄露通知服务。用户只需导航到Firefox Monitor并提供您的电子邮件地址即可。然后将它自动与您的浏览数据与Have I Been Pwned的超过31亿个已确认的出现安全问题网络地址的庞大数据库进行比较。比如,在火狐的Firefox Mnitor上查询一个结果,它会显示“泄露数据由 Have I Been Pwned 提供”。