16家国外网站近6.2亿用户信息被挂暗网出售

iso60001  2100天前

前言

shutterstock_pirate.jpg

近日,一个名为Dream Market暗网市场上挂出了6.2亿用户信息,交易通过比特币转账进行,打包售价不高于2万美元,该卖家宣称这些数据来自16个被攻击的网站:

Dubsmash(1.62亿)、MyFitnessPal(1.51亿)、MyHeritage(9200万)、ShareThis(4100万)、HauteLook(2800万)、Animoto(2500万)、EyeEm(2200万),8fit(2000万)、Whitepages(1800万)、Fotolog(1600万)、500px(1500万)、Armor Games(1100万)、BookMate(800万)、CoffeeMeetsBagel(600万)、Artsy(100万)和DataCamp(70万)。

从放出的部分样本来看,包含的用户信息有效性很高,主要有帐户持有人姓名、电子邮件地址和密码等数据。密码经过哈希处理或单向加密,因此必须先破解才能使用。根据来源网站的不同,某些数据还包含位置、个人详细信息和社交媒体身份验证信息等内容,而付款或银行卡详细信息不在其中。

潜在买家

目前挂出这些数据的卖家仅有一个,该卖家自称通过网站漏洞获得远程代码执行权限后提取了数据库,2018年已经洗过这些数据,这次是在暗网首次开卖。

从放出的数据类型来看,最有可能的买家是发送垃圾邮件/消息的群体,根据电子邮件地址直接发送或者拿去其他网站撞库之后发送垃圾信息,或许这也解释了售价相对便宜的原因。

截止发稿时,至少有一人已经购买了Dubsmash的数据。而MyHeritage、MyFitnessPa和Animoto三家公司在去年通知过用户数据泄露的情况,也就是说如果本次售卖的数据库是真实有效的,那么这些信息应该是一手的。

数据的真实性

MyHeritage发言人证实,该卖家现在出售的数据库样本是真实有效的,这些数据是2017年10月从其服务器泄露的,公司已在2018年发出通报。

卖家在按网上挂出数据后即刻通知了上述网站中的6个:Dubsmash、Animoto、EyeEm、8fit、Fotolog和500px。上周末,该地下交易网站遭到DDoS攻击,本周一恢复后增加了剩下的网站,外媒The Register根据网站列表联系了卖家和网站方面,得到的信息如下:

Dubsmash

数据量:161,549,210

售价:0.549 BTC(1,976美元)

Dubsmash是一款颇受年轻人欢迎的视频消息应用,目前未公开披露安全漏洞信息,泄露的数据包含:用户ID、SHA256密码、用户名、电子邮件地址、语言、国家/地区以及一些(但不是所有用户)名字和姓氏信息。

Dubsmash聘请了律师事务所Lewis Brisbois来调查暗网上的数据售卖事件,后者表示:

我们在这个问题始终全力协助Dubsmash。相关调查已经展开,我们计划在适当的时候通知所有相关方和个人。

500px

数据量:14,870,304

售价:0.217 BTC(780美元)

500px是一个面向摄影师和摄影爱好者的社交网站,目前未披露安全漏洞的信息。泄露的数据包含:用户名、电子邮件地址、MD5或SHA512或bcrypt-hashed密码、名字、姓氏、生日、性别、国家、城市和Facebook ID 。

500px发言人Stephanie Newell表示:

我们的工程团队正在进行调查,如果确认存在违规行为,我们将采取必要措施,按照GDPR标准通知用户。

EyeEm

数据量:22,360,765

售价:0.289 BTC(1040美元)

EyeEm是面向摄影师的在线聊天应用,本次泄露的数据包括电子邮件地址和SHA1加密的密码。

EyeEm没有回复记者的问题。

8fit

数据量:20,180,667

售价:0.2025 BTC(728美元)

8fit致力于为健身爱好者提供个性化的锻炼和饮食计划,目前未披露安全漏洞的信息。泄露的数据包含:电子邮件地址、加密密码、国家/地区代码,Facebook身份验证令牌、Facebook个人资料图片、姓名、性别和IP地址。

8fit首席执行官Aina Abiodun表示正在进行调查,目前不能提供更多信息。

Fotolog

数据量:16,000,000

售价:0.52 BTC(1872美元)

Fotolog也是一个面向摄影领域的社交网站。在2018年12月泄露了5.9GB的数据,包括5个SQL数据库,有电子邮件地址、SHA256密码、安全问题和答案、全名、位置、兴趣和其他配置文件信息。

Fotolog没有回复记者的问题。

Animoto

数据量:25,402,283

售价:0.318 BTC(1144美元)

该公司在2018年首次披露了相关安全漏洞,当时有2.1GB的数据遭到窃取,包含用户ID、SHA256密码、密钥、电子邮件地址、国家/地区、姓名和出生日期等信息。

Animoto发言人告诉记者:

在发现系统有异常活动后,我们在2018年8月通知了可能受影响的客户。在确定可疑活动后,我们立即将系统脱机并部署了多项安全控制措施防止此类事件再次发生。

MyHeritage

数据量:92,284,478

售价:0.549 BTC(1976美元)

MyHeritage是一款家庭树跟踪服务,用于研究用户的基因概况。该公司在2018年披露了一起2017年10月发生的数据泄露事件,共有3.6GB数据被窃取,包含电子邮件地址、SHA1密码以及创建帐户的日期,用户的基因等敏感信息没有泄露。

MyHeritage发言人表示:

此次按网上售卖的我司数据全部来自于2017年的数据泄露事件,没有新的违规行为发生。我们将立即对此进行调查并向当局报告销售情况,以便当局可以追踪卖家。我们还没有看到任何证据表明数据已经用于恶意行为。

MyFitnessPal

数据量:150,633,038

售价:0.289 BTC(1040美元)

MyFitnessPal是一款饮食和运动跟踪应用,去年该公司披露过一个安全漏洞。本次泄露的数据包含:用户ID、用户名、电子邮件地址、SHA1密码和IP地址。

该公司没有回复记者的问题。

Artsy

数据量:1,070,000

售价:0.0289 BTC(104美元)

Artsy是一款面向艺术领域的应用,本次泄露的数据包含:电子邮件地址、名称、IP地址、位置和SHA512密码。

该公司没有回复记者的问题。

Armor Games

数据量:11,013,617

售价:0.2749 BTC(988美元)

Armor Games是一个浏览器游戏的门户网站,拥有大量的用户。本次泄露的数据来自于2018年12月的一次安全事件,共有1.8GB数据遭到窃取,包含:用户名、电子邮件地址、SHA1密码、出生日期、性别、位置和其他个人资料详细信息。

该公司没有回复记者的问题。

Bookmate

数据量:8,026,992

售价:0.159 BTC(572美元)

Bookmate是一款电子书应用,本次泄露的数据包含:用户名、电子邮件地址、SHA512密码、性别、出生日期和其他个人资料详细信息。

该公司没有回复记者的问题。

CoffeeMeetsBagel

数据量:6,174,513

售价:0.13 BTC(468美元)

CoffeeMeetsBagel是一个在线约会网站,本次泄露的数据来源于2017年12月泄露的673MB数据,包含全名、电子邮件地址、年龄、注册日期、性别以及SHA256密码。

CoffeeMeetsBagel的一位发言人表示:

目前尚未发现违规情况,但我们的安全团队现在正在调查这个问题。CoffeeMeetsBagel不存储密码,使用第三方网站,如Facebook进行身份验证。很可能这些泄露的信息可以追溯到网站开始使用Facebook登录之前的步骤。

DataCamp

数据量:700,000

售价:0.013 BTC(46.8美元)

DataCamp是一款面向教师的科学和编程工具,本次泄露的数据包含电子邮件地址、bcrypt-hashed密码、位置和其他配置文件详细信息。

该公司的发言人告诉记者:

“我们认真对待此事,并希望进一步验证该事件是否属实。我们还将研究访问和审核日志,看看是否可以追溯到任何潜在的未经授权访问事件。如果确实进一步调查显示这些数据是真实有效的,我们将与您和受影响的最终用户进行沟通。

Hautelook

数据量:28,000,000

售价:0.217 BTC(780美元)

Hautelook是一款网上商城应用,专营时尚配饰产品。本次泄露的数据来源于2018年的安全事件,当时共有1.5GB文件遭到窃取,包含电子邮件地址、bcrypt-hashed密码和名称信息。

该公司没有回复记者的问题。

ShareThis

数据量:41,028,098

售价:0.217 BTC(780美元)

ShareThis是链接分享的小应用。本次泄露的数据来源于2018年7月的安全事件,当时共有2.7GB文件遭到窃取,包含姓名、用户名、电子邮件地址、DES密码、性别、出生日期和其他个人资料信息。

该公司没有回复记者的问题。

Whitepages

数据量:17,775,679

售价:0.434 BTC(1560美元)

Whitepages是一款在线电话和地址收录应用。本次泄露的数据来源于2016年安全事件,当时共有2.9GB内容遭到窃取,包含电子邮件地址、SHA1-或bcrypt-hashed密码以及名字和姓氏。

该公司没有回复记者的问题。

卖家告诉The Register:

有多达20个数据库可以在线转储,同时保留一些数据库供私人使用,并且自2012年开始网络攻击以来,我已经从各个服务器提取了大约10亿个帐户。我不是坏人,让黑客“生活更轻松”是我的目标。安全只是一种幻觉,很久以前我就开始网路攻击,而且只使用一些系统工具。


◆来源:FreeBuf

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论