16家国外网站近6.2亿用户信息被挂暗网出售

前言

近日，一个名为Dream Market暗网市场上挂出了6.2亿用户信息，交易通过比特币转账进行，售价不高于2万美元，该卖家宣称这些数据来自16个被攻击的网站：

从放出的部分样本来看，包含的用户信息有效性很高，主要有帐户持有人姓名、电子邮件地址和密码等数据。密码经过哈希处理或单向加密，因此必须先破解才能使用。根据来源网站的不同，某些数据还包含位置、个人详细信息和社交媒体身份验证信息等内容，而付款或银行卡详细信息不在其中。

潜在买家

目前挂出这些数据的卖家仅有一个，该卖家自称通过网站漏洞获得远程代码执行权限后提取了数据库，2018年已经洗过这些数据，这次是在暗网首次开卖。

从放出的数据类型来看，，最有可能的买家是发送垃圾邮件/消息的群体，根据电子邮件地址直接发送或者拿去其他网站撞库之后发送垃圾信息，或许这也解释了售价相对便宜的原因。

截止发稿时，至少有一人已经购买了Dubsmash的数据。而MyHeritage、MyFitnessPa和Animoto三家公司在去年通知过用户数据泄露的情况，也就是说如果本次售卖的数据库是真实有效的，那么这些信息应该是一手的。

数据的真实性

MyHeritage发言人证实，该卖家现在出售的数据库样本是真实有效的，这些数据是2017年10月从其服务器泄露的，公司已在2018年发出通报。

卖家在按网上挂出数据后即刻通知了上述网站中的6个：Dubsmash、Animoto、EyeEm、8fit、Fotolog和500px。上周末，该地下交易网站遭到DDoS攻击，本周一恢复后增加了剩下的网站，外媒The Register根据网站列表联系了卖家和网站方面，得到的信息如下：

1. Dubsmash

• 数据量：161,549,210
• 售价：0.549 BTC(1,976美元)

Dubsmash是一款颇受年轻人欢迎的视频消息应用，目前未公开披露安全漏洞信息，泄露的数据包含：用户ID、SHA256密码、用户名、电子邮件地址、语言、国家/地区以及一些(但不是所有用户)名字和姓氏信息。

Dubsmash聘请了律师事务所Lewis Brisbois来调查暗网上的数据售卖事件，后者表示：

2. 500px

• 数据量：14,870,304
• 售价：0.217 BTC(780美元)

500px是一个面向摄影师和摄影爱好者的社交网站，目前未披露安全漏洞的信息。泄露的数据包含：用户名、电子邮件地址、MD5-或SHA512-或bcrypt-hashed加密的密码、名字、姓氏、生日、性别、国家、城市和Facebook ID 。

500px发言人Stephanie Newell表示：

3. EyeEm

• 数据量：22,360,765
• 售价：0.289 BTC(1040美元)

EyeEm是面向摄影师的在线聊天应用，本次泄露的数据包括电子邮件地址和SHA1i加密的密码。

EyeEm没有回复记者的问题。

4. 8fit

• 数据量：20,180,667
• 售价：0.2025 BTC(728美元)

8fit致力于为健身爱好者提供个性化的锻炼和饮食计划，目前未披露安全漏洞的信息。泄露的数据包含：电子邮件地址、加密密码、国家/地区代码，Facebook身份验证令牌、Facebook个人资料图片、姓名、性别和IP地址。

8fit首席执行官Aina Abiodun表示正在进行调查，目前不能提供更多信息。

5. Fotolog

• 数据量：16,000,000
• 售价：0.52 BTC(1872美元)

Fotolog也是一个面向摄影领域的社交网站。在2018年12月泄露了5.9GB的数据，包括5个SQL数据库，有电子邮件地址、SHA256哈希密码、安全问题和答案、全名、位置、兴趣和其他配置文件信息。

Fotolog没有回复记者的问题。

6. Animoto

• 数据量：25,402,283
• 售价：0.318 BTC(1144美元)

该公司在2018年首次披露了相关安全漏洞，当时有2.1GB的数据遭到窃取，包含用户ID、SHA256密码、密钥、电子邮件地址、国家/地区、姓名和出生日期等信息。

Animoto发言人告诉记者：

7. MyHeritage

• 数据量：92,284,478
• 售价：0.549 BTC(1976美元)

MyHeritage是一款家庭树跟踪服务，用于研究用户的基因概况。该公司在2018年披露了一起2017年10月发生的数据泄露事件，共有3.6GB数据被窃取，包含电子邮件地址、SHA1密码以及创建帐户的日期，用户的基因等敏感信息没有泄露。

MyHeritage发言人表示：

8. MyFitnessPal

• 数据量：150,633,038
• 售价：0.289 BTC(1040美元)

MyFitnessPal是一款饮食和运动跟踪应用，去年该公司披露过一个安全漏洞。本次泄露的数据包含：用户ID、用户名、电子邮件地址、SHA1密码和IP地址。

该公司没有回复记者的问题。

9. Artsy

• 数据量：1,070,000
• 售价：0.0289 BTC(104美元)

Artsy是一款面向艺术领域的应用，本次泄露的数据包含：电子邮件地址、名称、IP地址、位置和SHA512密码。

该公司没有回复记者的问题。

10. Armor Games

• 数据量：11,013,617
• 售价：0.2749 BTC(988美元)

Armor Games是一个浏览器游戏的门户网站，拥有大量的用户。本次泄露的数据来自于2018年12月的一次安全事件，共有1.8GB数据遭到窃取，包含：用户名、电子邮件地址、SHA1密码、出生日期、性别、位置和其他个人资料详细信息。

该公司没有回复记者的问题。

11. Bookmate

• 数据量：8,026,992
• 售价：0.159 BTC(572美元)

Bookmate是一款电子书应用，本次泄露的数据包含：用户名、电子邮件地址、SHA512密码、性别、出生日期和其他个人资料详细信息。

该公司没有回复记者的问题。

12. CoffeeMeetsBagel

• 数据量：6,174,513
• 售价：0.13 BTC(468美元)

CoffeeMeetsBagel是一个在线约会网站，本次泄露的数据来源于2017年12月泄露的673MB数据，包含全名、电子邮件地址、年龄、注册日期、性别以及SHA256密码。

CoffeeMeetsBagel的一位发言人表示：

13. DataCamp

• 数据量：700,000
• 售价：0.013 BTC(46.8美元)

DataCamp是一款面向教师的科学和编程工具，本次泄露的数据包含电子邮件地址、bcrypt-hashed密码、位置和其他配置文件详细信息。

该公司的发言人告诉记者：

14. Hautelook

• 数据量：28,000,000
• 售价：0.217 BTC(780美元)

Hautelook是一款网上商城应用，专营时尚配饰产品。本次泄露的数据来源于2018年的安全事件，当时共有1.5GB文件遭到窃取，包含电子邮件地址、bcrypt-hashed密码和名称信息。

该公司没有回复记者的问题。

15. ShareThis

• 数据量：41,028,098
• 售价：0.217 BTC(780美元)

ShareThis是链接分享的小应用。本次泄露的数据来源于2018年7月的安全事件，当时共有2.7GB文件遭到窃取，包含姓名、用户名、电子邮件地址、DES密码、性别、出生日期和其他个人资料信息。

该公司没有回复记者的问题。

16. Whitepages

• 数据量：17,775,679
• 售价：0.434 BTC(1560美元)

Whitepages是一款在线电话和地址收录应用。本次泄露的数据来源于2016年安全事件，当时共有2.9GB内容遭到窃取，包含电子邮件地址、SHA1-或bcrypt-hashed密码以及名字和姓氏。

该公司没有回复记者的问题。

卖家告诉The Register：

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!