几天前, 一个令人震惊的消息在安全圈里传开了, 俄罗斯黑客集团盗窃了12亿用户密码。 这条消息过于骇人听闻, 因此安全牛并没有一键转载, 而是继续跟进此消息, 通过进一步的深挖, 我们发现了一些疑点。 很可能这个消息是一场精心策划的公关事件。
下面为您解读:
纽约时报爆料的源头来自一家美国安全公司——Hold Security。 凭借纽约时报的全球影响力和公信力, “12亿用户密码泄露”迅速成为安全界的头条新闻。 然而, 仔细分析这则新闻, 我们会发现以下一些疑点:
1) 从报道来看, Hold Security把盗取的用户密码数量达40亿, 属于12亿独立用户。 黑客从42万个网站上获取到这些数据。 但是, Hold Security并没有说明他们是否或者如何得到这42万个网站列表。
2)Hold Security以进一步调查为理由, 没有公布这些网站的名称以便让用户可以修改密码。 这在安全事件的公布里显得很奇怪。
3) Hold Security推出了一系列服务, 针对企业, 每年120美元, 可以对企业网站是否遭到数据泄漏提出告警, 对个人, 免费测试用户密码是否泄漏。这对于一个“还在进一步调查”的安全事件也显得非常奇怪。
4) 出了这么大的安全事件, 我们没有看到任何美国或者其它国家的计算机应急中心(CERT)发出的任何警告, 也没有看到任何有关国家执法机构介入调查的相关报道。
我们访问了Hold Security的站点,发现这家公司是一个名为Alex Holden的人创办的。 而这个Holden就是向纽约时报爆料的安全专家。 除了这次的安全事件外, 这个公司还爆料过 Adobe源代码泄漏事件, 以及PRNewswire的用户密码泄漏事件。 有趣的是, 这几次安全事件的报道, 都与一个叫Brian Krebs的安全博客能够形成互动。 Brian Krebs以前是一个记者, 后来开始建立自媒体, 专注于网络安全方面的事件,因对(俄罗斯)地下网络犯罪的深入独家报道而著称,而真正让Krebs这个博客火起来的,是2013年底率先披露了Target等美国零售商去年黑色星期五网购高峰期间的用户信用卡数据泄露事件,该事件也恰恰出自俄罗斯网络犯罪集团之手。根据纽约时报的报道,Krebs从一位没有信息安全技术背景的记者摇身一变成为全球超一流信息安全威胁分析师,这着实有些匪夷所思。Hold Security的网站上, Brian Krebs是该公司的特别顾问(Special Adviser).
Hold Security位于美国威斯康星州的密尔沃基。 当地报纸《密尔沃基哨兵日报》的两个记者随即对Alex Holden进行了一番调查。 他们发现, Alex Holden 来自乌克兰, 其父母曾在乌克兰首都基辅做工程师, 他小的时候随父母从苏联来的美国。 而他在2013年2月成立这家公司前, 他声称在密尔沃基当地的一家证券公司Robert W. Baird & Co担任首席信息安全官达10年之久。而记者询问Robert W. Baird & Co时公司表示不予评论。 此外, 他的LinkedIn主页上写道他1993年到2001年在威斯康星密尔沃基大学获得机械工程学士学位, 在他接受采访时也是这样说的。 而记者向威斯康星密尔沃基大学进行查询时, 学校方面则表示没有Alex Holden的学位记录。 随后在与《密尔沃基哨兵报》的记者的电话采访时, 当被告知学校查不到记录时, Alex Holden承认他没有读完学位。
当然, 我们不能仅凭Alex Holden在学位这样的问题上撒谎就否定他说的任何话。 下面我们来就事论事看一看一些疑点。
安全牛编辑试了一下个人的服务。 要求你输入你的邮件进行注册, 注册成功后可以验证密码是否泄漏, Hold Security网站你要求输入你要查询的密码, 通过Javascript用SHA-512传给到Hold Security的后台数据库去做比对。好吧, 是不是有点眼熟? 对, 钓鱼网站是不是经常这么搞?
就算我们以小人之心度君子之腹, Hold Security的做法又令人产生一个怀疑, Hold Security难道手上就有这个12亿用户密码的数据库吗? 而且, 做个网站开发的都知道, 不同网站采用的加密算法或者Hash算法不同, 比如有的用MD5, 有的用SHA1, 有的用SHA256等等 , Hold Security如何能够知道我输入的密码经过SHA-512生成的Hash值就能与数据库对上呢? 难道Hold Security已经把这些密码转成明文后又重新用SHA-512生成了一遍?此外, 还有的网站会对密码采取“盐化”,如果这样的话, 就算是Hold Security有了数据库, 也没办法做密码比对。