“数据泄露界”的Google:神秘网站LeakedSource和它的30亿数据

业界 作者:HackerEye 2017-01-04 03:20:11
想知道你的邮箱或个人隐私信息正面临被黑威胁吗?想知道你的企业网站被黑了吗?想知道最近发生什么大规模数据泄露事件吗?试试LeakedSource吧,一个被称为“数据泄露领域的Google搜索引擎”。2016年,在很多大规模databreach发生后,LeakedSource总会登上新闻头条,如它对Myspace、Linkedin和FriendFinder的分析。 在LeakedSource,你可以通过注册成为普通用户,根据用户名、邮箱、IP地址、姓名、电话进行泄露信息源查询。不过如果要查看具体的泄露数据,就得购买查询服务,费用从1天/4美金到1年/320美金不等。企业用户的长期合作还需直接与LeakedSource管理者联系。今天就让我们随着Freebuf来了解一下LeakedSource。 leakedsource LeakedSource提供的服务 如今的互联网时代,对个人、第三方网站和企业来说,数据永远是最宝贵的信息,然而,每天都在发生的黑客攻击和数据泄露事件严重程度远远超过人们的想像。还记得手机服务网站FourSquare被黑事件吗?Adobe呢?这些即便是当时备受关注的数据泄露事件,也会逐渐被更严重、更让人瞠目结舌的事件所湮灭(如最近的雅虎事件)。数据泄露没有最严重,只有更严重。作为个人和企业用户来说,如何知晓自身数据是否和如何泄露,已成当务之急。LeakedSource就提供了这样的服务: 1.普通注册用户,免费查询个人或其它(他人)相关信息是否处于数据泄露状态和泄露源; 2.普通注册用户,提交电子邮箱地址,获取免费数据泄露提醒服务; 3.普通注册用户,购买泄露信息付费查看服务; 4.企业定制用户,购买企业API接口付费提醒服务,供企业实时了解自身数据安全和数据泄露状况。 企业定制API接口服务价格: leakedsource2 企业定制API接口服务模式: leakedsource3 LeakedSource的成立发展 2015年底的最后几天,LeakedSource团队掌握并计划公布多达1亿被黑且尚未公开的“中国大型网站”泄露数据,而仅仅经过一年,LeakedSource积累的泄露数据就将近30亿,在未来的2017年初,LeakedSource还将计划通过其数据引擎公布20到30家被黑网站多达1.05亿条记录。 LeakedSource的成立目的在于,尽可能多的提醒普通互联网用户其泄露的个人信息正面临安全风险,与此同时,对那些被黑的第三方网站形成压力,迫使其承认黑客攻击事件,对用户负责–尽管这种过程和效应非常缓慢,不太明显。 LeakedSource积累的泄露数据库能让用户和组织了解其自身账户信息是否正处于被黑状态,或哪些信息已完全被公开泄露。最基本的一点是,至少能帮助提醒用户哪些密码需要修改。 基于如今交叉互联的应用服务,一些注册的或不明确的个人信息,一不小心就被不法份子收集利用,LeakedSource也提供这类关联信息服务,例如,发现某些泄露数据与个人电话或姓名相关,那么,用户也就非常清楚信息泄露到底出在哪个环节,需要采取必要的个人信息控制措施。 LeakedSource发言人强调,“毫无疑问,大部份发生数据泄露的公司,都不愿花时间和资源重视数据库安全,而当事件之后,又不愿及时通知用户,虽然普通用户在数据泄露事件中处于受害者地位,但却不知道自己的受影响程度,非常扯淡。所以这就是LeakedSource的成立初衷”。 LeakedSource的运营模式和数据来源 LeakedSource一直在秘密地点托管运行,而其网站运营团队,也由来自不同国家的数位匿名网络成员组成。他们声称,“简单来说,只要没人知道我们的身份和网站托管地,就能免受一些不必要的网络攻击”。而另外,还有一些具备各种技能的贡献者(Contributor)义务帮助网站进行运营管理、数据库管理和数据分析工作。LeakedSource的一位发言人曾在某单独采访中提及,网站团队的某些成员有着其他收入来源,有的甚至还是在校学生。 LeakedSource今年最大的“宝藏”是获取了3.6亿多个MySpace早期账户,和3.39亿多条AdultFriendFinder被黑事件影响用户信息。与微软安全专家 Troy Hunt创建的HaveiBeenpwned相比,LeakedSource数据更全面、更隐秘。LeakedSource目前将近有30亿各类泄露数据,其中包括中国国内泄露的天涯网、CSDN等网站数据。 在12月19号的FAQ里,LeakedSource团队解释道:“虽然在早期出于兴趣爱好而建立了该项目,但现在它已经成长为非常重要的公共服务,通过这个平台,我们坚信可以让公众了解目前糟糕的网络安全状况;同时,我们通过告知媒体,促使发生数据泄露的公司提醒他们的注册用户,而不是悄悄将事情掩盖”。 另外,重要的是,LeakedSource强调,他们只公布那些被曝光的数据泄露事件,不对尚未披露或其它渠道掌握的数据进行公布。据其一位发言人表示,LeakedSource未设置有偿数据提交功能,LeakedSource数据库中有将近20多亿条记录来自谷歌搜索,他们仅只是把这些数据进行了整合归纳,而其它不能从主流网站获取的数据则来自”地下黑客组织团体“。另据LeakedSource负责人声称,在网站服务运行的1年多以来,他们还从未与任何执法法部门发生过任何形式的联系或合作。 LeakedSource提供的服务和其引发的争议 LeakedSource的商业模式并非毫无争议。因为它不仅涉及数据库维护,有时还需对黑客攻击事件泄露的用户密码和其它数据进行解密。从某种意义上讲,因为能搜索到具体数据和经过解密的密码明文,这让LeakedSource的服务对公司和用户来说更为有用。LeakedSource声称,“满足用户好奇心是一种必然的发展趋势。比如说,如果你不满足于我们告诉你你的用户名从MySpace泄露了,那么你只需支付几美元,我们就会告诉具体你是哪个用户名或哪个邮箱被泄露了”。 当然,这种查询功能也同样适用于查询其他人的泄露信息,可以通过查询出来的密码信息对其他人的账号进行登录尝试,可以通过查询出来的其他个人相关信息,实施进一步的社会工程攻击。在这种情况下,LeakedSource也确实为那些潜在的攻击者创造了他人敏感信息的公开获取渠道。在一些安全社区甚至有人认为,LeakedSource是在从泄露数据事件中获利,这种提供泄露数据查询的做法可能会引发其它更糟糕的信息安全问题。 Casaba安全首席科学家John Michener也表示:“LeakedSource基本上就是从泄露数据中获利,我认为他们提供的服务就是帮助和煽动犯罪。人们知道泄露数据是非常有价值的,所以,如果LeakedSource真的是从公众利益出发的话,他们可以只发送邮件给被泄账户说‘嘿,我们发现你的信息已经被泄露了。’” 而LeakedSource发言人称,由于他们提供的服务运营“成本已经超出了大多数正常工作的薪水,因此,必须要寻找某种形式的盈利模式,否则网站就有可能维持不了”。 另外,由于网站不透明的运营模式,同样引发了一些关于可信度的质疑。 Binary Defense Systems公司的技术负责人Jared DeMott说,“其实还有些别的类似服务比LeakedSource更有可信度,因为你可以清楚地知道其运营和盈利模式。而像LeakedSource,我甚至都不会在上面提交邮箱地址,因为我不清楚到底谁在运营这个网站,他们又会如何来利用这些数据。而LeakedSource匿名运营的原因,可能是他们清楚地知道他们掌握的数据,尽管有巨大的需求和市场,但仍处于非常灰色的道德和法律地带。” 而LeakedSource坚称,“无论如何”都决不会售卖人们在其网上进行搜索查询的数据记录。LeakedSource向用户表示“不同于免费网站,我们不会用你们的信息来赚钱,你们不是商品”,同时LeakedSource还强调,其网站服务的出发点和动机不带任何政治目的。用其发言人的话来说,“在如今这个年头,掺杂了政治企图的事伤人伤已,不利健康。如果有人想向LeakedSource泄露敏感数据,比如政府信息,我们会向这些潜在泄密者推荐更适合的泄密网站,如维基解密。” 意义所在 尽管存在争议,但LeakedSource不乏支持者。LeakedSource声称,他们过去曾与媒体记者联合揭露数据泄露事件,在掌握了相关数据之后,他们自己不会去主动揭发映证或寻求其它形式的服务,甚至他们在网站上还为英国WEB安全公司Netsparker链接展示一个免费广告。Netsparker销售经理表示,“其实我们也不知道他们是谁,但如果不违法,保持匿名是他们的权利,只要他们持续为安全社区提供良好服务,普及和提升民众安全意识,我们都支持他们”。 LeakedSource不仅是针对大型数据泄露事件的信息提供服务,它的存在可能还会产生一种安全推动,促使更多的安全产品出现以帮助用户了解、掌握和保护个人隐私信息安全。而最近雅虎10亿用户信息泄露案例,就是大规模数据泄露事件的最好证明。 如果没有像LeakedSource这样的类似服务,我们也许将难以理解其存在的价值意义。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接