「數據泄露界」的Google:神秘網站LeakedSource和它的30億數據
想知道你的郵箱或個人隱私信息正面臨被黑威脅嗎?想知道你的企業網站被黑了嗎?想知道最近發生什麼大規模數據泄露事件嗎?試試LeakedSource吧,一個被稱為「數據泄露領域的Google搜索引擎」。2016年,在很多大規模databreach發生後,LeakedSource總會登上新聞頭條,如它對
Myspace
、
和
FriendFinder
的分析。
LeakedSource提供的服務
如今的互聯網時代,對個人、第三方網站和企業來說,數據永遠是最寶貴的信息,然而,每天都在發生的黑客攻擊和數據泄露事件嚴重程度遠遠超過人們的想像。還記得手機服務網站FourSquare被黑事件嗎?Adobe呢?這些即便是當時備受關注的數據泄露事件,也會逐漸被更嚴重、更讓人瞠目結舌的事件所湮滅(如最近的雅虎事件)。數據泄露沒有最嚴重,只有更嚴重。作為個人和企業用戶來說,如何知曉自身數據是否和如何泄露,已成當務之急。LeakedSource就提供了這樣的服務:
1.普通註冊用戶,免費查詢個人或其它(他人)相關信息是否處於數據泄露狀態和泄露源;
2.普通註冊用戶,提交電子郵箱地址,獲取免費數據泄露提醒服務;
3.普通註冊用戶,購買泄露信息付費查看服務;
4.企業定製用戶,購買企業API介面付費提醒服務,供企業實時了解自身數據安全和數據泄露狀況。
企業定製API介面服務價格:
企業定製API介面服務模式:
LeakedSource的成立發展
2015年底的最後幾天,LeakedSource團隊掌握並計劃公布多達1億被黑且尚未公開的「中國大型網站」泄露數據,而僅僅經過一年,LeakedSource積累的泄露數據就將近30億,在未來的2017年初,LeakedSource還將計劃通過其數據引擎公布20到30家被黑網站多達1.05億條記錄。
LeakedSource的成立目的在於,儘可能多的提醒普通互聯網用戶其泄露的個人信息正面臨安全風險,與此同時,對那些被黑的第三方網站形成壓力,迫使其承認黑客攻擊事件,對用戶負責–儘管這種過程和效應非常緩慢,不太明顯。
LeakedSource積累的泄露資料庫能讓用戶和組織了解其自身賬戶信息是否正處於被黑狀態,或哪些信息已完全被公開泄露。最基本的一點是,至少能幫助提醒用戶哪些密碼需要修改。
基於如今交叉互聯的應用服務,一些註冊的或不明確的個人信息,一不小心就被不法份子收集利用,LeakedSource也提供這類關聯信息服務,例如,發現某些泄露數據與個人電話或姓名相關,那麼,用戶也就非常清楚信息泄露到底出在哪個環節,需要採取必要的個人信息控制措施。
LeakedSource發言人強調,「毫無疑問,大部份發生數據泄露的公司,都不願花時間和資源重視資料庫安全,而當事件之後,又不願及時通知用戶,雖然普通用戶在數據泄露事件中處於受害者地位,但卻不知道自己的受影響程度,非常扯淡。所以這就是LeakedSource的成立初衷」。
LeakedSource的運營模式和數據來源
LeakedSource一直在秘密地點託管運行,而其網站運營團隊,也由來自不同國家的數位匿名網路成員組成。他們聲稱,「簡單來說,只要沒人知道我們的身份和網站託管地,就能免受一些不必要的網路攻擊」。而另外,還有一些具備各種技能的貢獻者(Contributor)義務幫助網站進行運營管理、資料庫管理和數據分析工作。LeakedSource的一位發言人曾在某單獨採訪中提及,網站團隊的某些成員有著其他收入來源,有的甚至還是在校學生。
LeakedSource今年最大的「寶藏」是獲取了3.6億多個MySpace早期賬戶,和3.39億多條AdultFriendFinder被黑事件影響用戶信息。與微軟安全專家 Troy Hunt創建的HaveiBeenpwned相比,LeakedSource數據更全面、更隱秘。
LeakedSource目前將近有30億各類泄露數據,其中包括中國國內泄露的天涯網、CSDN等網站數據。
在12月19號的FAQ里,LeakedSource團隊解釋道:「雖然在早期出於興趣愛好而建立了該項目,但現在它已經成長為非常重要的公共服務,通過這個平台,我們堅信可以讓公眾了解目前糟糕的網路安全狀況;同時,我們通過告知媒體,促使發生數據泄露的公司提醒他們的註冊用戶,而不是悄悄將事情掩蓋」。
另外,重要的是,LeakedSource強調,他們只公布那些被曝光的數據泄露事件,不對尚未披露或其它渠道掌握的數據進行公布。據其一位發言人表示,LeakedSource未設置有償數據提交功能,LeakedSource資料庫中有將近20多億條記錄來自谷歌搜索,他們僅只是把這些數據進行了整合歸納,而其它不能從主流網站獲取的數據則來自」地下黑客組織團體「。
另據LeakedSource負責人聲稱,在網站服務運行的1年多以來,他們還從未與任何執法法部門發生過任何形式的聯繫或合作。
LeakedSource提供的服務和其引發的爭議
LeakedSource的商業模式並非毫無爭議。因為它不僅涉及資料庫維護,有時還需對黑客攻擊事件泄露的用戶密碼和其它數據進行解密。從某種意義上講,因為能搜索到具體數據和經過解密的密碼明文,這讓LeakedSource的服務對公司和用戶來說更為有用。LeakedSource聲稱,「滿足用戶好奇心是一種必然的發展趨勢。
比如說,如果你不滿足於我們告訴你你的用戶名從MySpace泄露了,那麼你只需支付幾美元,我們就會告訴具體你是哪個用戶名或哪個郵箱被泄露了」。
當然,
這種查詢功能也同樣適用於查詢其他人的泄露信息,可以通過查詢出來的密碼信息對其他人的賬號進行登錄嘗試,可以通過查詢出來的其他個人相關信息,實施進一步的社會工程攻擊。在這種情況下,LeakedSource也確實為那些潛在的攻擊者創造了他人敏感信息的公開獲取渠道。在一些安全社區甚至有人認為,LeakedSource是在從泄露數據事件中獲利,這種提供泄露數據查詢的做法可能會引發其它更糟糕的信息安全問題。
Casaba安全首席科學家John Michener也表示:「LeakedSource基本上就是從泄露數據中獲利,我認為他們提供的服務就是幫助和煽動犯罪。人們知道泄露數據是非常有價值的,所以,如果LeakedSource真的是從公眾利益出發的話,他們可以只發送郵件給被泄賬戶說『嘿,我們發現你的信息已經被泄露了。』」
而LeakedSource發言人稱,由於他們提供的服務運營「成本已經超出了大多數正常工作的薪水,因此,必須要尋找某種形式的盈利模式,否則網站就有可能維持不了」。
另外,由於網站不透明的運營模式,同樣引發了一些關於可信度的質疑。 Binary Defense Systems公司的技術負責人Jared DeMott說,「其實還有些別的類似服務比LeakedSource更有可信度,因為你可以清楚地知道其運營和盈利模式。而像LeakedSource,我甚至都不會在上面提交郵箱地址,因為我不清楚到底誰在運營這個網站,他們又會如何來利用這些數據。而LeakedSource匿名運營的原因,可能是他們清楚地知道他們掌握的數據,儘管有巨大的需求和市場,但仍處於非常灰色的道德和法律地帶。」
而LeakedSource堅稱,「無論如何」都決不會售賣人們在其網上進行搜索查詢的數據記錄。LeakedSource向用戶表示「不同於免費網站,我們不會用你們的信息來賺錢,你們不是商品」,同時LeakedSource還強調,其網站服務的出發點和動機不帶任何政治目的。用其發言人的話來說,「在如今這個年頭,摻雜了政治企圖的事傷人傷已,不利健康。如果有人想向LeakedSource泄露敏感數據,比如政府信息,我們會向這些潛在泄密者推薦更適合的泄密網站,如維基解密。」
意義所在
儘管存在爭議,但LeakedSource不乏支持者。LeakedSource聲稱,他們過去曾與媒體記者聯合揭露數據泄露事件,在掌握了相關數據之後,他們自己不會去主動揭發映證或尋求其它形式的服務,甚至他們在網站上還為英國WEB安全公司Netsparker鏈接展示一個免費廣告。Netsparker銷售經理表示,「其實我們也不知道他們是誰,但如果不違法,保持匿名是他們的權利,只要他們持續為安全社區提供良好服務,普及和提升民眾安全意識,我們都支持他們」。
LeakedSource不僅是針對大型數據泄露事件的信息提供服務,它的存在可能還會產生一種安全推動,促使更多的安全產品出現以幫助用戶了解、掌握和保護個人隱私信息安全。而最近雅虎10億用戶信息泄露案例,就是大規模數據泄露事件的最好證明。
如果沒有像LeakedSource這樣的類似服務,我們也許將難以理解其存在的價值意義。
*參考來源:WIRED,FB小編clouds編譯,轉載請註明來自FreeBuf.COM
※Kali下安裝Shadowsocks與利用ss和ProxyChains實現任意應用代理
※挑戰中尋找機遇:FreeBuf2017互聯網安全創新大會(FIT)次日素描
※年度盛譽揭曉 | WitAwards 2016互聯網安全年度評選結果
※2017年信息安全部門的工作會是什麼樣?
TAG:FreeBuf |
※iOS固件泄露新iphone名稱:iPhone 8,iPhone 8 Plus和」iPhone X」
※iPhone新品名稱泄露:iPhone 8、Plus和iPhone X
※Optionsbleed 漏洞泄露 Apache Server 的內存信息
※全黑配色Nike Hypervenom Phantom III Tech Craft 2017 足球鞋泄露
※剧透预警:iOS 11 最终测试版泄露,Face ID、新款 Apple Watch、AirPods 小幅升级
※Intel六核8代酷睿Coffee Lake成績泄露
※【FB TV】一周「BUF大事件」:黑客泄露竊取的900Gb Cellebrite數據;Netgear路由器存在密碼繞過漏洞
※Google十月新品泄露 Pixel 2 XL價格直逼iPhone X
※Essential Phone泄露用戶信息:「Android之父」致歉
※Converse All Star別注款100 Slip M-Hi諜照泄露,據說不限量不炒作?!
※HomePod泄露了iPhone8的這些信息
※XboxOne Project Scorpio天蠍主機或將正式命名為Super Xbox 新註冊商標LOGO泄露線索
※iPhone 7s和7s Plus「三圍」泄露:長胖了
※華為新的MateBook規格泄露,代號為「Pascal」
※手機破解專家Cellebrite公司被黑,900GB數據泄露
※iPhone 8配置泄露 間諜竟是HomePod
※Harman Kardon 打造的 Cortana 智能音箱 Invoke 規格、用戶手冊和照片提前泄露
※疑似Coffee Lake Core i3規格泄露,顯示為4核4線程
※Harman Kardon 生產的 Cortana版Echo 設計圖遭泄露,微軟要入局智能音箱?