Hold安全公司公布俄罗斯大型泄密事件细节

在8月4日，Hold安全公司宣布，一个俄罗斯的犯罪团伙承认了一场数据泄露事件–窃取了12亿用户名+密码的组合和5千万email地址。其中电子邮件账户数量大概占了全世界总量近1/3的比例，媒体由此报导了这场“至今为止最大的黑客事件”。

那些防护脆弱的账户分布在一个宽广的范围内，不论大小和地域，不分个人、大小型企业乃至跨国大公司，都受到了这次事件的波及。一些业内的专家质疑数据的有效性，声称数据总量应该更小，破坏在过去几年中渐渐积累而不是刚刚发生。

Hold安全的报告

直到8月4日，Hold安全公司一直在安全界和情报界保持低调，然而，在盯上该俄罗斯犯罪团伙数据泄露后，该公司已经耗费了大量精力，他们无疑会抓住这次机会。Hold安全公司只发布了数据泄露事件部分信息，并宣布了为此负责的组织名称。Hold安全公司打算对黑客细节的保持持有，由此作为创收牟利的途径。

根据时代的山姆弗里泽尔报道，该犯罪团伙，“使用被感染的电脑（也就是我们常说的僵尸网络），操作一种计算机病毒在网络上寻找脆弱的网站。每当被感染的计算机用户访问网站，该病毒会测试网站是不是那么容易被黑，如果可以，犯罪分子会标记该网站并返回信号，而后会进行SQL注入（黑客术语），这会再现网站数据库的内容。

数据泄露情报摘要

以下是迄今公布的关于数据泄露报告的信息：

有报道称12亿用户名+密码的组合被拖库，同时遭殃的还有超过5千万email地址。
Hold安全公司不会放出受害者名字，亦不会公布应为此负责的俄罗斯犯罪团伙成员的名字。
该犯罪团伙组织被认为是一个犯罪圈子的一部分，其驻地位于哈萨克克斯坦和蒙古之间，一个俄罗斯小城的中南部。
俄罗斯黑客攻击了全球许多目标组织，从财富榜500强到很小的公司，如当地的小网站（也包括俄罗斯的组织）。
似乎没有特别的办法证明网站被视为目标的规律。黑客到访过的任何网站都被拿去收集证据，其中许网站仍然很脆弱。
没有任何迹象表明该俄罗斯团体在此时出售了那份数据记录。
这个组织似乎是用窃取来的认证信息，在社交网络如推特上按其他组织的需求推送垃圾邮件，然后收取相应的费用。

Hold安全公司的网站上提供了途径，让个人可以查询自己的邮件地址或者密码是否已经泄露。

分析者点评

这种特殊泄露的风险其实在人性本身。由于大多数人使用相同的密码来登陆多个网站，黑客们意识到到了这个问题，并且利用他们到手的数据这个先决条件，在多个网站上尝试登陆。这种身份窃取的风险比过去大零售商数据大量泄露事件还要严重。而对于发行卡的成本，借记卡或信用卡泄露的更容易防护；发行者可以只通过监控卡运营的系统，如果收到卡对系统进行欺骗的信号，可以将其锁定。然而身份窃取是一个较为复杂的问题，这需要花费大量时间和资源来解决。

数据将被怎样利用

证书可用于交叉检查站点是否允许电子邮件地址作为用户名。因为常人通常使用一个密码注册多个站点，网络罪犯会尝试登入那些允许email地址做用户名的已知网站。取得社交网站的登入权限，能给黑客提供高价值的信息，这可以让黑客对受害者能够采取更有针对性的行动。

网络罪犯也会修改他们的跨站的检查策略，使用账户名信息到“@”符号为止的字符作为用户名。例如，janedoe@gmail.com中，“janedoe”将作为一个电子邮件密码的用户名。常人一般使用老一套的邮件地址和密码。

脆弱的企业或商用邮箱，也许会被用于做潜在发展的钓鱼研究，以针对企业邮箱的拥有者。如果网络罪犯能够成功识别个人和公司的电子邮件，他们可以创建一个鱼叉式网络钓鱼的电子邮件，通过发送恶意软件来获得对方组织的计算机权限。

电子邮件账户的主人可能会开始尝试接收垃圾邮件，这是最容易成功的那种情况。然而，以下几点可以应用到不同的变化和复杂程度的情况中去:

一般的垃圾邮件（钓鱼）：这些垃圾邮件被发送到一个大的组群，以标题引诱收件人打开。一旦打开，这些邮件可能包含恶意网站
的链接或者文件，它们能下载恶意软件到受害者的电脑里面。
定制的垃圾邮件（钓鱼）：如果邮件账户的信件里有他们与零售商的互动，这就可以能定位账户主人的地域位置，同时获取其通常
购买或者通常从该商店买的商品信息。
僵尸版垃圾邮件：犯罪分子可以利用防护脆弱的电子邮件账户，向受害者的联系人列表挨个发送垃圾邮件。这些垃圾邮件，由于
发件人为收件人所熟悉，效果大大增强。这会增加目标受害者打开电子邮件和潜在点击其中恶意链接的机会。

在越来越多的关于这次数据泄露的信息和为此埋单的组织被公布后，这笔数据到底被用来做了什么，会渐渐被揭开神秘的面纱。

[参考信息来源securityintelligence.com，译/FreeBuf实习小编dawner]