3月3日,著名的“数据泄露猎手”Chris Vickery 在 Twitter上说自己将在美国当地时间3月6日(北京时间3月7日)公布一起“14亿身份泄露大案。”
次日(3月4日)他又发了另一条推文中,Vickery 又继续卖关子,不过将可能被泄露的数据量精确到13.7亿。
雷锋网了解到,由于 Vickery 此前发现过不少漏洞,其中甚至包括涉及美国军方和特朗普竞选团队的AWS服务器数据泄露,因此他的信誉很好。在他还没正式公布结果之前,各种外界猜测和分析就已铺天盖地。
根据13.7亿这一数据量,有人当即列出了一个潜在信息泄露者的列表: Facebook、YouTube、微信、腾讯、雅虎、苹果、微软、Oracle、Salesforce 和 Wayin 纷纷躺枪。
甚至外媒 theregister 还大放厥词:
如果这次泄露不是发生在印度,那么能满足这个基数泄露数量的就很有可能是中国了,上周末中国政府正忙于中国人民代表大会,不知道此番数据泄露是否与会议的召开有关。
北京时间3月7日(美国当地时间3月6日),Vickery 发表了一篇博文,揭开了13.7亿数据泄露的真相:
一个叫“江城数字媒体”(River city Media)的公司,伪装成一个合法的营销公司,但其实背后是两个知名的垃圾邮件制造者在提供业务支撑,每天发送10亿规模的垃圾邮件,堪比一个“垃圾邮件帝国”。
一个错误的备份不经意间暴露他们的整个工作数据库,导致所有用户的数据完全曝光,其中包含超过13亿7000万个电子邮件地址,并记录有一些额外的细节,如姓名,真实的地址和IP地址。
所幸的是,虽然这份数据库虽然庞大,但并未包含用户密码信息。
据雷锋网了解,此次事件让一个庞大的垃圾邮件帝国的运作方式浮出水面。Vickery 在其博文中直言不讳地说,“泄露的内容关乎你我,以及周围的人。”
Vickey 分析,这些信息可能是通过提供免费服务、抽奖活动等方式收集过来的,或者是当你点击网页上的“提交”或“我同意”时,旁边有一个勾选框,用很小的文字写着“我愿意向网站共享我的个人资料”,许多人不会注意这些字样。当然,也不排除某些机构使用非法手段收集用户的数据。
据雷锋网宅客频道了解,垃圾邮件商可以通过多种方式寻找并收集邮件地址。比如通过邮件订阅栏目收集邮箱、利用专门的软件抓取网页中的邮箱等等。垃圾邮件者通常会使用网页僵尸程序来搜集全网的邮件地址,理论上只要你的电子邮箱在网页上公开暴露过,就多半会被“抓走”,比如这样:
此外,一些即时通讯资料,在线论坛和信息贴版或者其他会员网站的资料中都有可能泄漏你的电子邮件地址。社交网络同样可以将你的邮箱地址公之于众。网站遭遇黑客拖库事件的频发,也对邮箱数据泄露起到了推波助澜的作用。
这些收集来的电子邮件通过技术手段进行自动化信息关联、数据筛选。在利益的驱使下进行数据交换、售卖,最终形成一个庞大的数据库。
Vickery 指出:
他们12个人每天就能发送十亿级别的垃圾邮件,其中显然包含了非常多的自动化操作,成熟的技术手段,甚至不少非法的黑客技术,比如非法IP劫持、Slowloris 攻击等等。
经过验证,Vickery 发现此次泄露的13.7亿数据中,其中相当一部分是准确的,但也包含了一部分过时的旧数据。
目前 Vickery 已经向相关执法部门以及受影响的公司(比如谷歌、微软和雅虎等等)取得联系,分析数据的来源,就泄露数据的处理方式进行协商,并考虑如何应对垃圾邮件发送者使用的非法黑客手段。
Vickery 将他揭露此次数据泄露的文章命名为:“一个垃圾邮件帝国的衰败”,他相信此次事件之后的相当一段时间内,飞往世界各地的垃圾邮件将迅速减少。