圈小蛙
一个身份不明的黑客正在构建一个针对中国公民的COMB(许多泄露数据的汇编),并且已经拥有超过12亿条记录。 每一条记录都至少包含一个电话号码,但通常还包含其他敏感数据,例如地址或身份证号码,并且这些数据正在网上泄露。
5月6日,Cybernews研究团队发现了一个仅针对中国公民的庞大数据集。 幕后黑手很可能无意中错误配置了Elasticsearch(数据存储和搜索工具)实例,导致数据泄露到互联网上。
该黑客最近开始为COMB添加数据,第一个条目于4月29日上传。 一周后,该数据库包含了 1,230,703,487 条中国公民的个人数据记录,并且还在不断增加。
中国总人口约14亿,而COMB约占其中的87%。 在100GB大小的泄漏中,每条记录都至少包含一个电话号码。
大部分数据都是从以前公开泄露的数据中汇总而来。不过,这些数据还包括一些私人的和以前从未见过的数据集。
Cybernews研究小组警告说:“如此大量的收集个人信息表明,幕后黑手很可能别有用心。” “完整的数据集很可能包含重复数据,但这可能是设计好的。它允许威胁行为者查看一个人的所有泄露数据,将来自不同泄露和外泄事件的不同数据点联系在一起。”
这次发现的COMB是今年第二大泄露事件,仅次于数据泄露搜索引擎开放的“所有泄露之母”(MOAB) 集合中的260亿条记录。
中国过去曾遭受过大规模数据泄露。去年,黑客声称窃取了45亿中国公民的快递数据,另外,一个与俄罗斯有关的论坛上曝光了6.3亿中国人的数据,其中包括银行卡详细信息。
泄露的数据里面有什么?
COMB托管在德国的一个数据中心。 泄漏的Kibana实例(用于查看数据的仪表板界面)被设置为简体中文,这表明管理员也可能是中国人。
数据库包括以下内容:
- 668,304,162 条记录,包含QQ账号和电话号码。QQ是一款在中国非常流行的社交媒体应用程序,类似于WhatsApp。
- 502,852,106条记录,包含微博账号和电话号码。微博是中国的一个微博平台,类似于 Twitter 和 Facebook 的混合体。
- 顺丰子数据集中有50,557,417条记录,包括电话号码、姓名和地址。 顺丰在中国提供物流/快递服务。
- “Siyaosu”(四要素)子数据集中有8,064,215条记录,涉及姓名、电话号码、地址和身份证号码。
- 在名为“Chezhu”(车主)的子数据集中有746,310条记录,泄露了姓名、电话号码、电子邮件地址、地址和身份证号码数据。
- “Pingan”(平安)子数据集中有100,790条记录,包含姓名、电话号码、电子邮件地址、家庭住址、订购的服务、卡号和支付金额。 中国平安是一家中国保险公司。
- “jiedai”(借贷)子数据集中的78,487条记录包含姓名、电话号码、地址、身份证号码、工作单位、教育程度、伴侣姓名和电话号码。
意图可能是恶意的
由于没有任何个人或团体公开声称对此次大规模数据泄露事件负责,因此在发现数据泄露事件时,还无法确定其归属。
“所发现的数据很可能是非法获得的,并且可能打算用于非法目的。 这些数据可能属于某个威胁行为者或一群人。”Cybernews的研究人员说。
通常情况下,大量数据被用于非法服务地下市场,以搜索以前泄露的信息。这也可能是针对中国公民的大规模机器人电话、诈骗或网络钓鱼尝试的准备。
数据囤积者似乎对密码不感兴趣,因为没有任何密码,尽管过去有许多泄漏信息暴露了密码。
研究人员表示:“选择Elasticsearch作为数据存储库也很能说明问题,因为它是存储大量数据和快速搜索数据的首选工具。”
Elasticsearch能够快速排序、近乎实时的数据搜索,并且具有高度可扩展性。
在发现时,个人信息存储刚刚开始建立,未来可能会有更多数据被纳入其中。
Cybernews 的研究团队已向德国云提供商通报了这个看似非法存储和开放的数据存储库。
未来的危险
中国人应该意识到,他们的数据正在被整理,以备未来潜在的威胁行为者可能会尝试大范围的目标攻击。
大多数数据并不新鲜。 然而,只要数据本身有效,这对恶意行为者来说就没什么影响。
个人信息已包含在COMB中的用户可能会成为鱼叉式网络钓鱼攻击的目标,并收到比平时更多的欺诈者发送的垃圾邮件、电话或短信。
虽然数据集中没有密码,但网络骗子仍然可以尝试通过匹配其他泄露的用户名和密码来获得对帐户的未经授权的访问。
电话号码通常用作身份验证或帐户恢复的手段。 因此,攻击者可能会尝试窃取身份或未经授权访问在线帐户。
“诈骗是按百分比进行的。 攻击者拥有十亿个电话号码,可以尝试社会工程攻击来获得信任、冒充个人或操纵受害者泄露更敏感的信息。”研究人员警告说。