那些防护脆弱的账户分布在一个宽广的范围内,不论大小和地域,不分个人、大小型企业乃至跨国大公司,都受到了这次事件的波及。一些业内的专家质疑数据的有效性,声称数据总量应该更小,破坏在过去几年中渐渐积累而不是刚刚发生。
Hold安全的报告
直到8月4日,Hold安全公司一直在安全界和情报界保持低调,然而,在盯上该俄罗斯犯罪团伙数据泄露后,该公司已经耗费了大量精力,他们无疑会抓住这次机会。Hold安全公司只发布了数据泄露事件部分信息,并宣布了为此负责的组织名称。Hold安全公司打算对黑客细节的保持持有,由此作为创收牟利的途径。
根据时代的山姆弗里泽尔报道,该犯罪团伙,“使用被感染的电脑(也就是我们常说的僵尸网络),操作一种计算机病毒在网络上寻找脆弱的网站。每当被感染的计算机用户访问网站,该病毒会测试网站是不是那么容易被黑,如果可以,犯罪分子会标记该网站并返回信号,而后会进行SQL注入(黑客术语),这会再现网站数据库的内容。
数据泄露情报摘要
以下是迄今公布的关于数据泄露报告的信息:
有报道称12亿用户名+密码的组合被拖库,同时遭殃的还有超过5千万email地址。
Hold安全公司不会放出受害者名字,亦不会公布应为此负责的俄罗斯犯罪团伙成员的名字。
该犯罪团伙组织被认为是一个犯罪圈子的一部分,其驻地位于哈萨克克斯坦和蒙古之间,一个俄罗斯小城的中南部。
俄罗斯黑客攻击了全球许多目标组织,从财富榜500强到很小的公司,如当地的小网站(也包括俄罗斯的组织)。
似乎没有特别的办法证明网站被视为目标的规律。黑客到访过的任何网站都被拿去收集证据,其中许网站仍然很脆弱。
没有任何迹象表明该俄罗斯团体在此时出售了那份数据记录。
这个组织似乎是用窃取来的认证信息,在社交网络如推特上按其他组织的需求推送垃圾邮件,然后收取相应的费用。
Hold安全公司的网站上提供了途径,让个人可以查询自己的邮件地址或者密码是否已经泄露。
分析者点评
这种特殊泄露的风险其实在人性本身。由于大多数人使用相同的密码来登陆多个网站,黑客们意识到到了这个问题,并且利用他们到手的数据这个先决条件,在多个网站上尝试登陆。这种身份窃取的风险比过去大零售商数据大量泄露事件还要严重。而对于发行卡的成本,借记卡或信用卡泄露的更容易防护;发行者可以只通过监控卡运营的系统,如果收到卡对系统进行欺骗的信号,可以将其锁定。然而身份窃取是一个较为复杂的问题,这需要花费大量时间和资源来解决。
数据将被怎样利用
证书可用于交叉检查站点是否允许电子邮件地址作为用户名。因为常人通常使用一个密码注册多个站点,网络罪犯会尝试登入那些允许email地址做用户名的已知网站。取得社交网站的登入权限,能给黑客提供高价值的信息,这可以让黑客对受害者能够采取更有针对性的行动。
网络罪犯也会修改他们的跨站的检查策略,使用账户名信息到“@”符号为止的字符作为用户名。例如,janedoe@gmail.com中,“janedoe”将作为一个电子邮件密码的用户名。常人一般使用老一套的邮件地址和密码。
脆弱的企业或商用邮箱,也许会被用于做潜在发展的钓鱼研究,以针对企业邮箱的拥有者。如果网络罪犯能够成功识别个人和公司的电子邮件,他们可以创建一个鱼叉式网络钓鱼的电子邮件,通过发送恶意软件来获得对方组织的计算机权限。
电子邮件账户的主人可能会开始尝试接收垃圾邮件,这是最容易成功的那种情况。然而,以下几点可以应用到不同的变化和复杂程度的情况中去:
一般的垃圾邮件(钓鱼):这些垃圾邮件被发送到一个大的组群,以标题引诱收件人打开。一旦打开,这些邮件可能包含恶意网站的链接或者文件,它们能下载恶意软件到受害者的电脑里面。
定制的垃圾邮件(钓鱼):如果邮件账户的信件里有他们与零售商的互动,这就可以能定位账户主人的地域位置,同时获取其通常购买或者通常从该商店买的商品信息。
僵尸版垃圾邮件:犯罪分子可以利用防护脆弱的电子邮件账户,向受害者的联系人列表挨个发送垃圾邮件。这些垃圾邮件,由于发件人为收件人所熟悉,效果大大增强。这会增加目标受害者打开电子邮件和潜在点击其中恶意链接的机会。
在越来越多的关于这次数据泄露的信息和为此埋单的组织被公布后,这笔数据到底被用来做了什么,会渐渐被揭开神秘的面纱。