前言

日前，安全研究人員在某個(gè)網(wǎng)站目錄上發(fā)現(xiàn)了高達(dá)7.11億個(gè)電子郵箱帳號(hào)，其中包括電子郵件的地址、密碼和SMTP郵件服務(wù)器。這些資料目前已被一個(gè)名為“Onliner Spambot”機(jī)器人程序利用來發(fā)送含有銀行木馬程序的垃圾郵件。使用垃圾郵件來散布惡意軟件早已不是新聞，而且現(xiàn)在的電子郵件已經(jīng)能過濾掉絕大部分的垃圾郵件了，但Onliner Spambot的手段更為高明。攻擊者搜集數(shù)千個(gè)SMTP服務(wù)器及傳輸端口的登入數(shù)據(jù)，借此躲過垃圾郵件系統(tǒng)過濾，以發(fā)送電子郵件。獨(dú)立網(wǎng)絡(luò)安全研究員特洛伊·亨特(Troy Hunt)就此次事件進(jìn)行深入分析——

[[202725]]

巨量郵箱被泄漏

我上周被告知互聯(lián)網(wǎng)上出現(xiàn)一個(gè)垃圾郵件列表。這個(gè)列表中記錄的垃圾郵件是有史以來我見過最長(zhǎng)的，超過了之前臭名昭著的垃圾郵件組織“River City Media” (RCM)的3.93億個(gè)電子郵箱的記錄。這些被曝光的電子郵箱我已經(jīng)放到了HIBP網(wǎng)站上(注HIBP網(wǎng)站，全稱“Have I Been Pwned?Reports”，網(wǎng)址https://haveibeenpwned.com/，在該網(wǎng)站輸入你的郵箱或者其他社交賬號(hào)就可以查看是否被入侵)。這是我目前放到該網(wǎng)站上最大的電郵記錄了。被曝光的電郵的數(shù)量相當(dāng)于歐洲所有人口電郵的總和。在這里我和大家分享此次事件的始末。

首先，被曝光在網(wǎng)上的這批電子郵箱名單是一位名為Benkow moʞuƎq的法國(guó)研究人員首先在某個(gè)網(wǎng)站目錄發(fā)現(xiàn)到的數(shù)筆資料之一，其中還包含電郵地址、密碼及用以發(fā)送垃圾郵件的SMTP郵件服務(wù)器。Benkow指出這批數(shù)據(jù)已經(jīng)被一只名為Onliner Spambot的電郵機(jī)器人程序用來發(fā)送垃圾郵件，并告訴我了泄露這批電郵的IP地址：

為防止數(shù)據(jù)進(jìn)一步泄露，我將部分信息做模糊處理，因?yàn)樵谖覍戇@篇文章時(shí)，這個(gè)網(wǎng)址仍然可以訪問。泄露電郵的IP地址位于荷蘭。我和Benkow正在試圖通過合法途徑聯(lián)系該網(wǎng)站的管理者，促其關(guān)閉這個(gè)網(wǎng)站。直到網(wǎng)站關(guān)閉前，我不會(huì)曝光上述電郵地址。

泄漏郵箱的分析

Benkow已經(jīng)發(fā)布了一篇關(guān)于此次事件的報(bào)告，非常值得一讀(報(bào)告題為From Onliner Spambot to Millions of)。我在這里想講述的是我對(duì)此次事件的認(rèn)識(shí)和看法，因?yàn)闀?huì)有很多人在HIBP網(wǎng)站上發(fā)現(xiàn)自己的電郵及個(gè)人信息被曝光。如果沒有時(shí)間閱讀Benkow的文章，你需要明確以下兩點(diǎn)：

電子郵箱地址。目前有數(shù)以萬計(jì)的個(gè)人電郵被用來發(fā)送垃圾郵件。有時(shí)，垃圾郵件事件中就會(huì)涉及千萬個(gè)，甚至是幾億個(gè)電郵。

電子郵箱地址及其密碼。Benkow指出不法分子會(huì)利用得到的電子郵箱地址和密碼濫用你的SMTP郵件服務(wù)器發(fā)送垃圾郵件。

告訴大家一個(gè)不幸的消息，我的電郵地址也曾經(jīng)被濫用以發(fā)送垃圾郵件，而且被濫用了2次：

在泄露的文件中，第一個(gè)文件包含14GB的信息，第二個(gè)文件則包含131MB的信息。大多數(shù)情況下，泄露的數(shù)據(jù)包都是這樣一大一小。如圖1所示，你可以看出被泄露的電郵后綴只出現(xiàn)過“UK”和“AU”。文件中沒有再出現(xiàn)其他代表國(guó)家的后綴信息了。

其中還有一個(gè)以“NewFile_”為前綴的文件。該文件包含4.3萬行澳大利亞道路與海事服務(wù)處(Roads and Maritime Services)的郵箱。

郵箱地址中的每行都包含RMSETollDontReply@rms.nsw.gov.au，之后是“support@”，并加以“.com.au”的后綴。

這一電子郵箱是用于發(fā)送與汽車擋風(fēng)玻璃上安裝的“電子標(biāo)簽”設(shè)備有關(guān)的通知，以便你支付相關(guān)費(fèi)用。我之前也收到過類似郵件：

仔細(xì)觀察上述從澳大利亞道路與海事服務(wù)處郵箱發(fā)出的郵件你就會(huì)發(fā)現(xiàn)問題。原來這4.3萬行郵件中的名稱都是自動(dòng)生成的，而郵箱地址自動(dòng)生成模式與上個(gè)月我放在HIBP網(wǎng)站上的 the B2B USA Businesses垃圾郵件類似。

泄露的郵箱還包括

Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk 。

第一個(gè)郵箱泄露文件中包含我的電郵地址。你也許會(huì)問我為什么要公開別人的郵箱地址，那是因?yàn)檫@些已經(jīng)被曝光在網(wǎng)上了：

但是，在數(shù)據(jù)包中你會(huì)發(fā)現(xiàn)郵箱地址的前面會(huì)有一長(zhǎng)串的前綴，據(jù)分析應(yīng)該是HTML文件名，或表示電郵地址已經(jīng)從互聯(lián)網(wǎng)上抹去。因此，所謂7.11億個(gè)郵箱地址可能只是一個(gè)虛數(shù)，真正被控制和濫用的電郵可能小于這個(gè)數(shù)字。

郵箱密碼分析

下面，我們來探討一下電郵密碼。其中，一個(gè)文件以數(shù)字形式命名，并包含120萬行數(shù)據(jù)：

研究顯示，隨機(jī)從HIBP網(wǎng)站上挑選出來的被泄露的郵箱地址均屬此前LinkedIn用戶資料泄露事件中的郵箱地址。這一點(diǎn)值得探究，假設(shè)LinkedIn資料外泄事件是此次泄露事件的源頭，那么郵箱的密碼就是此前被曝光的使用的哈希函數(shù)算法(不加鹽)。但這僅僅是泄露郵箱中的一小部分。

一份類似的文件(擁有相似的命名結(jié)構(gòu))包含了420萬電郵帳號(hào)和密碼，每個(gè)帳號(hào)這一次都曾在“ the massive Exploit.In combo list”中出現(xiàn)過。這應(yīng)該能夠幫助你了解到，這些數(shù)據(jù)一旦進(jìn)入公有領(lǐng)域，是如何不斷被重新分配的。

其他文件擁有與之持平，甚至更多的賬密數(shù)量。其中一份文件擁有2900萬行電郵帳號(hào)和密碼，前者一直在HIBP網(wǎng)站列表中，即使前兩個(gè)例子中并未出現(xiàn)特殊的數(shù)據(jù)泄露情況。另一份文件的命名方式比較馬虎，能看出是澳大利亞地址，且都為真實(shí)名稱。該數(shù)據(jù)包含1250萬行，意味著該國(guó)每2個(gè)人中就有一人的郵箱遭到泄露。其中的很大一部分未出現(xiàn)在HIBP網(wǎng)站上，包含了379000個(gè)以.gov.au結(jié)尾的帳號(hào)，看起來混雜了合法、虛假和改編帳號(hào)。

還有另一個(gè)文件包含了超過3000條記錄，涵蓋電郵帳號(hào)和密碼，SMTP服務(wù)器以及端口等內(nèi)容(25和587都是常見SMTP端口)：

這也體現(xiàn)除了數(shù)據(jù)的價(jià)值：數(shù)千個(gè)有效SMTP帳戶提供給垃圾郵件發(fā)送者一個(gè)不小的郵件服務(wù)器選擇范圍，用于發(fā)送他們的郵件。這里還有許多與之類似的文件;另一個(gè)包含了142000個(gè)電郵帳號(hào)和密碼，SMTP服務(wù)器及端口。

還有一些數(shù)據(jù)中包含了大量的信息，例如，一份文件包含了2000萬行俄語電郵。上述郵箱地址中還包含SQL的文件名，如下圖所示：

總結(jié)

數(shù)據(jù)還有很長(zhǎng)。電子郵件地址和密碼，以及SMTP服務(wù)器和端口分布在數(shù)萬GB的文件中。在二年半的時(shí)間里，“HIBP 110數(shù)據(jù)泄露”共累積了7億1100萬個(gè)地址，其中很多都集中在一個(gè)地方。這是一個(gè)令人難以置信的數(shù)據(jù)量。

上面的例子并不完全詳盡，只是用于說明數(shù)據(jù)的多樣性。這些例子幫助解釋了大量的數(shù)據(jù)記錄，以及我不可避免的反應(yīng)“有些地址是不真實(shí)的”。其同樣說明數(shù)據(jù)的來源有多么廣泛，以及雖然不幸發(fā)現(xiàn)自己在這個(gè)數(shù)據(jù)集中，卻未能深入了解你的電子郵件地址是從哪里被獲得的，或者能做什么進(jìn)行防范。

我們不得不面對(duì)這樣一個(gè)不爭(zhēng)的事實(shí)，那就是我們的電子郵箱已經(jīng)淪為一個(gè)商品，被人分享、交易甚至是濫用。不法分子利用我們的郵箱發(fā)送成千上萬條垃圾郵件——這就是今天的互聯(lián)網(wǎng)。

我已經(jīng)將7.11億個(gè)泄露的電郵發(fā)布在了HIBP網(wǎng)站上?；诎踩紤]，我并未公布包含上述數(shù)據(jù)的文件名及目錄位置，也沒有公布郵箱的密碼。

如果你為自己包括電郵在內(nèi)的所有網(wǎng)絡(luò)賬戶設(shè)置了強(qiáng)大的，不易被攻破的密碼，并且設(shè)置了多重驗(yàn)證手段，那么我自然不用為你的網(wǎng)絡(luò)賬戶安全擔(dān)心。如果你沒有做到這些，希望此次泄露事件能為你敲響警鐘!