前言

近日，一個名為Dream Market暗網市場上掛出了6.2億用戶信息，交易通過比特幣轉賬進行，售價不高于2萬美元，該賣家宣稱這些數據來自16個被攻擊的網站：

Dubsmash(1.62億)、MyFitnessPal(1.51億)、MyHeritage(9200萬)、ShareThis(4100萬)、HauteLook(2800萬)、Animoto(2500萬)、EyeEm(2200萬)，8fit(2000萬)、Whitepages(1800萬)、Fotolog(1600萬)、500px(1500萬)、Armor Games(1100萬)、BookMate(800萬)、CoffeeMeetsBagel(600萬)、Artsy(100萬)和DataCamp(70萬)。

從放出的部分樣本來看，包含的用戶信息有效性很高，主要有帳戶持有人姓名、電子郵件地址和密碼等數據。密碼經過哈希處理或單向加密，因此必須先破解才能使用。根據來源網站的不同，某些數據還包含位置、個人詳細信息和社交媒體身份驗證信息等內容，而付款或銀行卡詳細信息不在其中。

[[257008]]

潛在買家

目前掛出這些數據的賣家僅有一個，該賣家自稱通過網站漏洞獲得遠程代碼執行權限后提取了數據庫，2018年已經洗過這些數據，這次是在暗網首次開賣。

從放出的數據類型來看，最有可能的買家是發送垃圾郵件/消息的群體，根據電子郵件地址直接發送或者拿去其他網站撞庫之后發送垃圾信息，或許這也解釋了售價相對便宜的原因。

截止發稿時，至少有一人已經購買了Dubsmash的數據。而MyHeritage、MyFitnessPa和Animoto三家公司在去年通知過用戶數據泄露的情況，也就是說如果本次售賣的數據庫是真實有效的，那么這些信息應該是一手的。

數據的真實性

MyHeritage發言人證實，該賣家現在出售的數據庫樣本是真實有效的，這些數據是2017年10月從其服務器泄露的，公司已在2018年發出通報。

賣家在按網上掛出數據后即刻通知了上述網站中的6個：Dubsmash、Animoto、EyeEm、8fit、Fotolog和500px。上周末，該地下交易網站遭到DDoS攻擊，本周一恢復后增加了剩下的網站，外媒The Register根據網站列表聯系了賣家和網站方面，得到的信息如下：

1. Dubsmash

• 數據量：161,549,210
• 售價：0.549 BTC(1,976美元)

Dubsmash是一款頗受年輕人歡迎的視頻消息應用，目前未公開披露安全漏洞信息，泄露的數據包含：用戶ID、SHA256密碼、用戶名、電子郵件地址、語言、國家/地區以及一些(但不是所有用戶)名字和姓氏信息。

Dubsmash聘請了律師事務所Lewis Brisbois來調查暗網上的數據售賣事件，后者表示：

我們在這個問題始終全力協助Dubsmash。相關調查已經展開，我們計劃在適當的時候通知所有相關方和個人。

2. 500px

• 數據量：14,870,304
• 售價：0.217 BTC(780美元)

500px是一個面向攝影師和攝影愛好者的社交網站，目前未披露安全漏洞的信息。泄露的數據包含：用戶名、電子郵件地址、MD5-或SHA512-或bcrypt-hashed加密的密碼、名字、姓氏、生日、性別、國家、城市和Facebook ID 。

500px發言人Stephanie Newell表示：

我們的工程團隊正在進行調查，如果確認存在違規行為，我們將采取必要措施，按照GDPR標準通知用戶。

3. EyeEm

• 數據量：22,360,765
• 售價：0.289 BTC(1040美元)

EyeEm是面向攝影師的在線聊天應用，本次泄露的數據包括電子郵件地址和SHA1i加密的密碼。

EyeEm沒有回復記者的問題。

4. 8fit

• 數據量：20,180,667
• 售價：0.2025 BTC(728美元)

8fit致力于為健身愛好者提供個性化的鍛煉和飲食計劃，目前未披露安全漏洞的信息。泄露的數據包含：電子郵件地址、加密密碼、國家/地區代碼，Facebook身份驗證令牌、Facebook個人資料圖片、姓名、性別和IP地址。

8fit首席執行官Aina Abiodun表示正在進行調查，目前不能提供更多信息。

5. Fotolog

• 數據量：16,000,000
• 售價：0.52 BTC(1872美元)

Fotolog也是一個面向攝影領域的社交網站。在2018年12月泄露了5.9GB的數據，包括5個SQL數據庫，有電子郵件地址、SHA256哈希密碼、安全問題和答案、全名、位置、興趣和其他配置文件信息。

Fotolog沒有回復記者的問題。

6. Animoto

• 數據量：25,402,283
• 售價：0.318 BTC(1144美元)

該公司在2018年首次披露了相關安全漏洞，當時有2.1GB的數據遭到竊取，包含用戶ID、SHA256密碼、密鑰、電子郵件地址、國家/地區、姓名和出生日期等信息。

Animoto發言人告訴記者：

在發現系統有異常活動后，我們在2018年8月通知了可能受影響的客戶。在確定可疑活動后，我們立即將系統脫機并部署了多項安全控制措施防止此類事件再次發生。

7. MyHeritage

• 數據量：92,284,478
• 售價：0.549 BTC(1976美元)

MyHeritage是一款家庭樹跟蹤服務，用于研究用戶的基因概況。該公司在2018年披露了一起2017年10月發生的數據泄露事件，共有3.6GB數據被竊取，包含電子郵件地址、SHA1密碼以及創建帳戶的日期，用戶的基因等敏感信息沒有泄露。

MyHeritage發言人表示：

此次按網上售賣的我司數據全部來自于2017年的數據泄露事件，沒有新的違規行為發生。我們將立即對此進行調查并向當局報告銷售情況，以便當局可以追蹤賣家。我們還沒有看到任何證據表明數據已經用于惡意行為。

8. MyFitnessPal

• 數據量：150,633,038
• 售價：0.289 BTC(1040美元)

MyFitnessPal是一款飲食和運動跟蹤應用，去年該公司披露過一個安全漏洞。本次泄露的數據包含：用戶ID、用戶名、電子郵件地址、SHA1密碼和IP地址。

該公司沒有回復記者的問題。

9. Artsy

• 數據量：1,070,000
• 售價：0.0289 BTC(104美元)

Artsy是一款面向藝術領域的應用，本次泄露的數據包含：電子郵件地址、名稱、IP地址、位置和SHA512密碼。

該公司沒有回復記者的問題。

10. Armor Games

• 數據量：11,013,617
• 售價：0.2749 BTC(988美元)

Armor Games是一個瀏覽器游戲的門戶網站，擁有大量的用戶。本次泄露的數據來自于2018年12月的一次安全事件，共有1.8GB數據遭到竊取，包含：用戶名、電子郵件地址、SHA1密碼、出生日期、性別、位置和其他個人資料詳細信息。

該公司沒有回復記者的問題。

11. Bookmate

• 數據量：8,026,992
• 售價：0.159 BTC(572美元)

Bookmate是一款電子書應用，本次泄露的數據包含：用戶名、電子郵件地址、SHA512密碼、性別、出生日期和其他個人資料詳細信息。

該公司沒有回復記者的問題。

12. CoffeeMeetsBagel

• 數據量：6,174,513
• 售價：0.13 BTC(468美元)

CoffeeMeetsBagel是一個在線約會網站，本次泄露的數據來源于2017年12月泄露的673MB數據，包含全名、電子郵件地址、年齡、注冊日期、性別以及SHA256密碼。

CoffeeMeetsBagel的一位發言人表示：

目前尚未發現違規情況，但我們的安全團隊現在正在調查這個問題。CoffeeMeetsBagel不存儲密碼，使用第三方網站，如Facebook進行身份驗證。很可能這些泄露的信息可以追溯到網站開始使用Facebook登錄之前的步驟。

13. DataCamp

• 數據量：700,000
• 售價：0.013 BTC(46.8美元)

DataCamp是一款面向教師的科學和編程工具，本次泄露的數據包含電子郵件地址、bcrypt-hashed密碼、位置和其他配置文件詳細信息。

該公司的發言人告訴記者：

我們認真對待此事，并希望進一步驗證該事件是否屬實。我們還將研究訪問和審核日志，看看是否可以追溯到任何潛在的未經授權訪問事件。如果確實進一步調查顯示這些數據是真實有效的，我們將與您和受影響的最終用戶進行溝通。

14. Hautelook

• 數據量：28,000,000
• 售價：0.217 BTC(780美元)

Hautelook是一款網上商城應用，專營時尚配飾產品。本次泄露的數據來源于2018年的安全事件，當時共有1.5GB文件遭到竊取，包含電子郵件地址、bcrypt-hashed密碼和名稱信息。

該公司沒有回復記者的問題。

15. ShareThis

• 數據量：41,028,098
• 售價：0.217 BTC(780美元)

ShareThis是鏈接分享的小應用。本次泄露的數據來源于2018年7月的安全事件，當時共有2.7GB文件遭到竊取，包含姓名、用戶名、電子郵件地址、DES密碼、性別、出生日期和其他個人資料信息。

該公司沒有回復記者的問題。

16. Whitepages

• 數據量：17,775,679
• 售價：0.434 BTC(1560美元)

Whitepages是一款在線電話和地址收錄應用。本次泄露的數據來源于2016年安全事件，當時共有2.9GB內容遭到竊取，包含電子郵件地址、SHA1-或bcrypt-hashed密碼以及名字和姓氏。

該公司沒有回復記者的問題。

賣家告訴The Register：

有多達20個數據庫可以在線轉儲，同時保留一些數據庫供私人使用，并且自2012年開始網絡攻擊以來，我已經從各個服務器提取了大約10億個帳戶。我不是壞人，讓黑客“生活更輕松”是我的目標。安全只是一種幻覺，很久以前我就開始網路攻擊，而且只使用一些系統工具。