LeakedSource:一家记录着30亿被黑账户数据索引网站
发布日期:2016-12-26现在已经很难记录哪些公司被黑过而哪些没有了。谁还记得手机服务网站FourSquare被黑事件吗?Adobe呢?即便当时备受关注的数据泄露事件,也会随着更大更恐怖的事件层出不穷而黯淡在时光中(比如雅虎数据泄露就压过了之前众多事件)。
如果不能记住哪些站点被黑了,我们也就可能很难追踪到底是哪些安全事件泄露了你的个人隐私。这正是著称“数据泄露领域的谷歌”LeakedSource的立足之本。
LeakedSource是一项网络服务,发送有关新泄露的邮件提醒,提供黑客事件中被盗信息的数据库。其基本服务——注册邮件提醒和搜索数据库,是免费的,但用户可以付费使用更高级的搜索功能。LeakedSource还提供付费企业工具,供企业通知受数据泄露影响的用户。
该项目于2015年底启动,挥别2016仅剩几天之际,其运营团队计划放出大约1亿多来自“中国大型网站”的记录——虽然该黑客事件尚未公开。之后,在一年中LeakedSource总记录数达到了惊人的30亿条。2017年初,该服务还计划公开来自20-30家被黑网站的1.05亿条记录。
LeakedSource的使命既包含了告诉用户他们的信息处于风险之中,还包括了迫使公司企业公开泄露事件——即使有公开,通往也是很久很久之后的事。记录数据泄露事件中的数据还能让用户(个人或大型实体)跟踪自身账户有哪些被泄了,以及有哪些数据已经永久脱离了掌控。最起码,能帮助用户追踪该修改哪些口令。
让你知道电话号码之类的数据点顶着自己名号全球转手,也是该服务的功用之一。网上互动服务那么多,不知不觉就交出了很多信息,有时候甚至没有明确注册也被搜刮了一堆个人信息。有必要收回那些能收回的控制了。
诚然,总被发生数据泄露的公司无视和一个个翻找数据库会让人累到生无可恋。LeakedSource项目成立之源,就是因为人们总在问哪里可以看到自己有没有被某某某数据泄露事件影响,却总是因为公司企业不公开被黑事件而无处找到答案。
团队工作
一小队匿名国际成员在一个秘密地点运营LeakedSource。
“只要没人知道我们是谁,我们的站点托管在哪儿,坏人就无法攻击我们。”
站点贡献者用他们的各种技能帮助运营网站、管理数据库、分析数据。其发言人曾在单独采访中说过,一些团队成员有其他收入来源,其他则还是在校学生。
该站点今年最大成就包括超3.6亿个MySpace账户,超3.39亿受AdultFriendFinder被黑事件影响的用户。LeakedSource就像个更全面更隐秘版本的在线邮箱安全检测工具HaveiBeenpwned——该工具自2013年来收集了近20亿条记录。
12月19号的FAQ里,该团队解释道:“尽管本项目出于兴趣爱好而建,却已成长为非常重要的公共服务,我们相信我们已经教育了大量公众关于互联网安全的糟糕状态。作为附赠福利,我们通过通告媒体,迫使发生数据泄露的公司切实通知到他们的用户,而不是悄悄将事情掩盖。”
重要的是,LeakedSource只公开已经在网上公布了的信息,还未发布在其他任何地方的信息是不公开的。LeakedSource也不付费搜罗数据,他们手中有20多亿条记录来自于谷歌搜索。
一名发言人说:“举个例子,只要在谷歌搜索框中填入download myspace database,肯定出现在前5条搜索结果中。我们做的,只是把这些结果集中到一个易于使用的地方。”其他不是从主流Web上获取的记录,来自“地下团体”。目前LeakedSource服务运行了超过1年,尚未与司法部门发生任何形式的交互。
公共服务
LeakedSource的商业模式并非没有争议。该组织不仅仅是维护数据库,在可能的时候还解密来自黑客事件的口令和其他数据。从某种意义上说,这让LeakedSource的服务对公司和用户更有用——因为能搜索具体数据。LeakedSource称其提供该机制“以满足人类天生的好奇心。比如说,如果你不满足于我们告诉你你的用户名从MySpace泄露了,只需几美元,我们就会告诉你是哪个用户名或哪个邮箱被泄。”
但这样的查询也适用于其他人的信息。对在几个口令间切换的人而言,这一功能对查找哪个口令被泄十分有用,可以找出哪些账户需要调整和监视,而哪些可以放着不管。但提供这样的服务,也确实为潜在攻击者创造了获得这些信息的另一个公开渠道,安全社区里的一些人认为,LeakedSource是在从数据泄露事件中盈利,且此类推荐被泄数据的做法还有可能引发安全问题。
Casaba安全的首席科学家就表示:“他们基本上是在以帮助和煽动犯罪的方式从公开信息中赚钱。知道自己被泄是有价值的,所以,如果LeakedSource对其公共利益部分是认真的,他们就可以只发送邮件给被泄邮箱说‘嘿,我们在被泄数据库中找到了您哟。’”
LeakedSource发言人称,该服务的运营经费超出了大多数正常工作的薪水,因而,必然要有某种形式的盈利,否则就维持不了。
其匿名性,也引起了对可信度和责任感的质疑。其实有些别的类似的服务还更有可信度,因为你知道是谁在运营,也清楚他们用别的方式赚钱。而LeakedSource?老实说,告诉他们邮箱地址还真是冒险的举动——因为你根本不知道都是什么人在运营,也不知道他们怎么用的数据。他们想要隐姓埋名的原因可能也源于此,因为他们知道自己手中的数据处于非常灰色的领域,尽管有巨大的需求和市场……
LeakedSource称“无论如何”不会售卖人们在其网上搜索的东西。“不同于自由网站,我们不会用你们的信息来支付账单,你们不是商品。”该组织说道,并坚持其动机是完全非政治性的。“这年月,有政治企图明显不利健康。若有人试图向LeakedSource泄露敏感数据,比如政府信息,我们会重定向这些潜在泄密者到更适合的站点,比如维基解密。”
意义所在
尽管某些地方有些许不适,LeakedSource还是有自己的黑客。该组织称其过去与报道者们合作揭秘数据泄露,而不是自己登录或发掘服务。而且它甚至还在英国web应用安全扫描器开发公司Netsparker有个广告商。该公司市场营销经理称:“老实说,即便是我们也不知道他们的名字。但他们没做任何违法的事,而且即使他们想保持匿名也是他们自己的事。只要他们为社区提供良好服务,提升安全意识,我们就支持他们。”
这不仅仅是个提供大型数据泄露中牵涉数据信息的服务,而是一场运动,会催生更多工具以帮助消费者理解当前个人数据现状,感到自己更有力量去保护它们。最近的雅虎10亿用户记录被泄案,就是单个数据泄露已达10亿级的明证。
没有类似LeakedSource这样的服务,几乎不可能让这样的事件有任何意义。