E安全9月1日訊 巴黎安全研究人員Benkow率先發(fā)現(xiàn)身份不明的黑客攻擊了荷蘭一臺開放訪問的服務(wù)器,，該服務(wù)器的7.11億個(gè)電子郵件賬戶數(shù)據(jù)被泄,。這是Have I Been Pwned（知名搜索數(shù)據(jù)庫）上收錄的迄今為止泄露的最大的數(shù)據(jù)量，之前的記錄是River City Media數(shù)據(jù)泄露,，當(dāng)時(shí)該事件曾造成的3.93億條電子郵件數(shù)據(jù)泄露,。

垃圾郵件發(fā)送者可利用這些電子郵件憑證通過合法電子郵件服務(wù)器發(fā)送電郵繞過垃圾郵件過濾器，從而大規(guī)模傳播惡意軟件,。

Benkow提醒Have I Been Pwned的安全專家特洛伊·亨特注意,。亨特8月30日發(fā)表博文稱,，Benkow向他解釋了如何定位到垃圾郵件程序“Onliner”使用的設(shè)備，并向他提供了IP地址路徑（位于荷蘭）查看以下目錄：

這個(gè)目錄包含兩類重要的數(shù)據(jù)：

• 電子郵箱：大量電子郵箱地址用于傳送垃圾郵件,。

• 電子郵箱和密碼：Benkow解釋稱這些憑證可濫用郵箱所有者的SMTP服務(wù)器傳送垃圾郵件,。Benkow認(rèn)為其中許多憑證來自其它數(shù)據(jù)泄露事件。

亨特的電子郵箱也在泄露之列：

這里顯示亨特的國家代碼為英國,，然而實(shí)際上并非如此,，由此可見，郵件地址存疑,。

含“NewFile_”前綴的其中一個(gè)文件包含超過4.3萬行電子郵箱地址與澳大利亞道路與海事服務(wù)廳（Roads and Maritime Services）有關(guān)：

每行均包含[email protected],，后面帶有“support@”，大部分域名為.com.au,，但也有1.3萬個(gè).ru（俄羅斯域名）域名,。這些電子郵箱地址被用來發(fā)送與電子路橋費(fèi)繳費(fèi)器“E-Tag”相關(guān)的通知。亨特就曾收到此類垃圾郵件：

亨特認(rèn)為,，通過俄羅斯電子郵箱地址使用新南威爾士州道路收費(fèi)系統(tǒng)的合法司機(jī)不會很多,，很顯然，這些賬戶常量是自動生成的,。亨特之前看到過類似的B2B USA Businesses垃圾郵件列表,，有關(guān)評論如下：

這些數(shù)據(jù)中還包含一些很差的解析數(shù)據(jù)，例如以下數(shù)據(jù),，并且還出現(xiàn)了兩次：

Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk,。

此外，有一個(gè)以數(shù)字命名的文件還包含120萬行如下數(shù)據(jù)：

亨特隨機(jī)選擇其中十幾個(gè)不同的電子郵箱地址發(fā)現(xiàn),，其中的地址屬于LinkedIn被泄的數(shù)據(jù),。

另外還有一個(gè)文件包含超過3000條電子郵箱、密碼,、SMTP服務(wù)器和端口（25和587都是常見SMTP端口）記錄：

此外,，有些文件中還包含相當(dāng)混亂的數(shù)據(jù)，似乎文件名包含SQL:

這臺服務(wù)器似乎與惡意軟件Ursnif有關(guān),。亨特不止發(fā)現(xiàn)電子郵箱地址,，還發(fā)現(xiàn)幾千個(gè)電子郵箱/密碼組合，以及SMTP服務(wù)器設(shè)置,。

Benkow解釋稱,，要發(fā)送垃圾郵件，攻擊者需要大量SMTP登錄憑證,，攻擊者要么創(chuàng)建,，要么就得購買，一般SMTP憑證收集完成，就可以注入垃圾郵件程序（Spambot）,，而這個(gè)特殊的垃圾郵件程序被稱為“Onliner”，該程序至少自2016年開始活動,。

Onliner使用荷蘭這臺開放的服務(wù)器將Ursnif惡意軟件傳送至全球的電子郵箱,。Ursnif因竊取大量軟件和瀏覽器的數(shù)據(jù)而臭名昭著，尤其銀行業(yè)面臨的攻擊風(fēng)險(xiǎn)最大,。Onliner獲取了7.11億個(gè)SMPT登錄憑證,，包括電子郵箱地址、密碼和電子郵件服務(wù)器,，其中8000萬個(gè)憑證仍有效,，并用來攻擊余下的6.31億個(gè)賬號，以繞過反垃圾郵件軟件,。

據(jù)稱,，存在問題的電子郵箱包含肉眼無法看見的1x1像素的GIF圖片。

Benkow警告稱,，當(dāng)用戶打開垃圾郵件時(shí),，用戶的IP地址和用戶代理請求會被發(fā)送至托管GIF圖片的服務(wù)器。垃圾郵件發(fā)送者需了解三件事：首先是用戶已經(jīng)打開了電子郵件,，其次,，用戶在哪里打開的電子郵件，以及用戶在哪臺設(shè)備上打開了電子郵件,。攻擊者還會收到電子郵箱地址有效的確認(rèn)信息,。

這起泄露事件中的數(shù)據(jù)量“令人難以置信”,，Have I Been Pwned現(xiàn)在已經(jīng)將這些電子郵箱納入搜索數(shù)據(jù)庫,，用戶可查看自己的賬號是否在數(shù)據(jù)泄露事件中被泄。
查詢?nèi)肟冢篽ttps:///

注：本文由E安全編譯報(bào)道,轉(zhuǎn)載請注明原文地址

https://www./news/217643122.shtml