Data Viper是一家安全初创公司,提供对8000多起网站入侵事件中暴露的约150亿用户名、密码和其他信息的访问权限。该公司本身也遭到了黑客攻击,其用户数据库也被发布在网上。黑客还声称,他们正在暗网上出售大约20亿条记录,这些记录是Viper从大量入侵和数据泄露中整理出来的,其中包括几家公司的数据,这些公司要么可能不知道自己遭到了黑客攻击,要么还没有公开披露入侵事件。
密苏里州圣路易斯市的明显泄密事件。基于数据,毒蛇提供了一个警示和扭曲的故事,当安全研究人员寻求收集有关在线非法活动的情报,过于接近他们的猎物或忘记他们声称的任务时,可能会发生什么。这起事件还突显了在打击网络犯罪方面什么是合法的,什么是道德的,这一领域往往模糊不清。
数据毒蛇是Vinny Troia的创意,他是一名安全研究员,经营着一家名为Night Lion Security的网络威胁情报公司。自2018年成立以来,数据毒蛇一直将自己标榜为一个“威胁情报平台,旨在为组织、调查人员和执法部门提供对市场上最大规模的私人黑客渠道、粘贴、论坛和被入侵数据库的访问”。
许多私营公司将获取此类信息的权限出售给经过审查的客户-主要是执法官员和在大公司担任安全职务的反欺诈专家,他们可以为这些往往昂贵的服务买单。
Data Viper试图通过广告“访问私人和未披露的泄密数据”来使自己与众不同。正如KrebsOnSecurity在2018年的一篇报道中指出的那样,Troia已经承认在各种黑暗网络论坛上冒充买家或卖家,以此作为从其他论坛成员那里获取旧的和新的黑客数据库的一种方式。
但这种做法可能在周末产生了适得其反的效果,当时有人在深网上发布了一个链接,链接到一本描述Data Viper黑客行为的电子杂志(e-zine),以及链接到Data Viper用户群的链接。这位匿名发帖者声称,他已经在Data Viper内部呆了几个月,并在没有通知的情况下从该服务泄露了数百G的数据。
入侵者还链接到黑暗网站帝国市场(Empire Market)上的数十个新的销售线索,在那里他们宣传出售数十个泄露或被黑客攻击的网站数据库中的数亿个账户详细信息,这些数据库据称是Data Viper通过在网络犯罪论坛上与他人进行交易而获得的。
一些待售的数据库与已知的、公开报道的违规事件有关。但其他人对应的公司似乎没有披露安全事件。因此,KrebsOnSecurity没有透露其中大多数公司的名字,目前正在试图确定这些指控的有效性。
KrebsOnSecurity确实与Fivestars.com的首席执行官维克多·何(Victor Ho)进行了交谈,Fivestars.com是一家帮助小公司运营客户忠诚度计划的公司。黑客声称,他们去年出售了4400万张从Fivestars获得的唱片。Ho表示,他不知道有任何数据安全事件,也没有向他的公司报告过此类事件,但Fivestars目前正在调查这些指控。Ho承认,暗网销售线索中提到的记录数量与他的公司去年的用户数量大致相当。
但在2019年8月3日,数据毒蛇的推特账号却不经意地注意到,“五颗星--新增4400万条违规记录--包括姓名、邮箱、道布。”这篇帖子被一系列关于Data Viper中添加了大量被泄露个人信息的类似声明所掩盖,几乎没有受到任何关注,只得到了一条转发。
通过Twitter联系到的特洛亚承认,他的网站遭到了黑客攻击,但他表示,攻击者只能访问Data Viper的开发服务器,而不是更关键的生产系统,这些系统为该服务提供了动力,并存储了他的受损凭据索引。
Troia说,对他的网站负责的人就是那些侵入他们现在黑暗网络上出售的数据库并声称只从他的服务中获得的人。
更重要的是,特洛亚认为这次攻击是对他本周在波士顿发表的一次主题演讲的先发制人的打击:6月29日,特洛亚在推特上表示,他计划利用这次演讲公开揭露黑客的身份,他怀疑黑客是多年来大量网站入侵事件的幕后黑手。
“凭据填充”是一种猖獗的网络犯罪形式,当人们在多个网站上使用相同的密码时,这种形式的网络犯罪会得逞,被黑客攻击或泄露的凭据受到网络犯罪分子的重视。攻击者拥有一份来自被攻破网站的电子邮件地址和密码列表,然后将在数百个其他网站上使用这些相同的凭据自动尝试登录。
当网站开发人员从事这种不安全的做法时,密码重复使用变得更加危险。事实上,2020年1月Data Viper博客上的一篇帖子表明,他计划在即将到来的演讲中讨论的团体正是如何在网站上进行妥协的。
在那篇帖子中,特洛亚写道,这个黑客组织被称为“诺斯替玩家”和“闪亮的猎人”,他们使用大致相同的方法洗劫了无数的网站数据库:目标是使用凭据填充攻击登录GitHub账户的开发人员。
“在那里,他们会掠夺代码库,寻找签入代码库的AWS密钥和类似的凭证,”Troia写道。
Troia说,对他的服务的入侵不是凭据重用的结果,而是因为他的开发人员不小心在解释客户如何使用Data Viper的应用程序编程接口的文档中暴露了他的凭据。
特洛亚说:“我要说的是,他们是如何进入的,这一讽刺之处绝对令人惊叹。”“但是所有这些他们声称在卖的东西都是他们已经在卖的(数据库)。所有这些都出自诺斯替派玩家之手。这些都不是我出的。想要抹黑我的报道和演讲都是作秀。“。
Troia说,他不知道诺斯替派玩家声称从他的网站获得的数据库中有多少是合法的黑客攻击,甚至是公开的。
他说:“至于对数据库的公开报道,我将在周三的报告中对此进行大量报道。”“我所有的‘报告’都交给了联邦调查局。”
数据毒蛇黑客制作的电子杂志声称,特洛亚在各种网络犯罪论坛上使用了许多昵称,包括与账户接管密切相关的OGUsers上的绰号“Exabyte”。
在与Krebson Security的一次对话中,Troia承认Exabyte的这一归属是正确的,并指出他对曝光感到高兴,因为这进一步巩固了他对谁应该为他的网站遭到黑客攻击负责的怀疑。
这很有趣,因为入侵者声称在侵入数据Viper后获得的一些被黑客攻击的数据库与归功于Troia的发现相对应,在这些发现中,公司让数千万用户详细信息通过亚马逊的EC2等云服务在线公开访问,从而无意中暴露了数千万用户详细信息。
例如,在2019年3月,Troia表示,他与人共同发现了一个可公开访问的数据库,其中包含150 GB的明文营销数据-包括7.63亿个唯一的电子邮件地址。这些数据已经由电子邮件验证公司Verifications.io在网上曝光。
2019年10月12日,一个名为Exabyte的新用户在RaidForum上注册-RaidForum是一个致力于分享被黑客攻击的数据库和工具来实施凭据填充攻击的网站。这个艾字节账户是在特洛亚在OGUsers上创建他的艾字节身份后不到两周注册的。2019年12月26日,RaidForum上的Exabyte发布消息称,他正在为社区提供一份迟来的圣诞礼物:Verifications.io泄露了2亿个账户。
“Verifications.io终于来了!”艾字节激动不已。此版本包含70个原始verifications.io数据库中的69个,总计2亿多个帐户。
2018年5月,在发现销售情报公司阿波罗(Apollo)在云服务中公开留下1.25亿个电子邮件地址和90亿个数据点后,Troia出现在Wired.com和许多其他出版物上。正如我在2018年报道的那样,在披露之前,Troia曾寻求我的帮助,以确定暴露数据的来源,他最初错误地得出结论是LinkedIn.com暴露了这些数据。相反,阿波罗从包括LinkedIn在内的许多不同网站收集并整理了数据。
2018年8月,有人使用昵称“声卡”在现已停业的Kickass黑暗网络论坛上发布了一条销售线索,提供2.12亿LinkedIn用户的个人信息,以换取两枚比特币(当时相当于约1.2万美元)。令人难以置信的是,Troia之前告诉我,他就是Kickass论坛上那个声卡身份的幕后黑手。
当被问及Exabyte在RaidForum上的帖子时,Troia表示,他并不是唯一一个能够接触到Verifications.io数据的人,而且正在发生的事情的全面范围很快就会变得更加清晰。
“不止一个人可以有相同的名字‘艾字节’,”特罗亚说。“你从双方看到的太多都是烟雾弥漫。”
的确是烟雾弥漫。这一事件完全有可能是特洛亚精心策划的、愤世嫉俗的公关噱头,目的是以某种方式诱捕坏人。Troia最近出版了一本关于威胁追捕的书,在第360页(PDF)上,他描述了他是如何之前对自己的网站发动黑客攻击,然后在网络犯罪论坛上吹嘘虚假入侵,目的是收集特定网络罪犯的信息-顺便说一句,他声称对他网站的攻击是同一批人。
虽然从技术上讲,被黑客入侵的数据库交易在美国可能并不违法,但公平地说,美国司法部(DoJ)对那些运营向网络罪犯营销服务的人持悲观态度。
2020年1月,美国当局没收了WeLeakInfo.com的域名,WeLeakInfo.com是一家在线服务公司,三年来一直在出售从其他网站窃取的数据的访问权。两名男子因与该宗检获案件有关而被捕。2017年2月,司法部关闭了LeakedSource,这是一项与WeLeakInfo运营类似的服务。
美国司法部最近发布了指导意见(PDF),以帮助威胁情报公司在网上收集和购买非法来源的数据时避免被起诉的风险。指导方针表明,某些类型的情报收集-特别是在犯罪论坛上与他人交换非法获得的信息,以此作为获取其他数据或提高一个人在论坛上的地位的一种方式-可能会特别有问题。
美国司法部2020年2月的文件写道:“如果一名从业者成为论坛的活跃成员,并与其他论坛成员直接交换信息和沟通,该从业者可能很快就会陷入非法行为,如果不小心的话。”
对于卧底从业者来说,从论坛上学会信任从业者角色的来源提取信息可能会更容易,但发展信任并作为同伙建立诚意可能涉及提供可用于犯罪的有用信息、服务或工具。
“从事此类活动很可能导致违反联邦刑法。犯罪是否发生通常取决于个人的行为和意图。实践者必须避免在论坛上做任何进一步促进他人犯罪目的的事情。即使从业人员无意犯罪,协助他人从事犯罪行为也可以构成联邦协助教唆罪。“。
如果一个人采取了积极的行为-即使是本身合法的行为-这是为了进一步犯罪,并旨在为犯罪提供便利,那么他或她可能会被判协助和教唆联邦犯罪。