暗影追蹤 | 誰是LeakedSource.com的幕後運營者？

在LeakedSource突然關停之際，安全專家Brian Krebs利用蛛絲馬跡的線索，通過層層抽絲剝繭，順藤摸瓜，最終確定了LeakedSource幕後運營者的大致身份。拋開LeakedSource的合法性不談，該文對特定網路身份輪廓的剖繪值得參考研究。

LeakedSource突然下線

作為一個神秘和強大的社工庫網站，上個月底，LeakedSource在沒有發布任何消息的情況下，就突然下線無法訪問了。

據多家媒體消息，原因是美國相關執法部門對LeakedSource網站和相關運營者開展了調查，並沒收了其伺服器。

而在黑客論壇OGF中，有用戶發貼聲稱：「LeakedSource將不復存在，雖然目前網站相關運營者還沒有被逮捕，但是他們的伺服器和數據都被聯邦政府沒收了。」

據傳比較諷刺的是，LeakedSource網站幕後運營者的真實身份，竟是被其自己兜售的資料庫暴露了。而在LeakedSource成立初期，其網站伺服器物理位置和運營者身份都非常隱秘，無跡可尋。

LeakedSource運營模式

自2015年10月，LeakedSource就開始成立網站，出售一些嚴重數據泄露事件中涉及的賬戶密碼信息，在其網站搜索欄輸入任何一個電子郵箱地址之後，都會提示是否有該郵箱對應的密碼泄露信息。

當然，用戶得付費查看具體的密碼信息。

LeakedSource是一個可以滿足很多人好奇心的網站，尤其是對那些調查數據泄漏事件的新聞記者。

其它數據泄露服務網站，如BreachAlarm和HavelBeenPwned.com，如果用戶查出某個賬戶或郵箱存在密碼泄露，在查看這些密碼信息之前，會強制要求用戶對相關賬戶的合法身份進行驗證，而LeakedSource對此卻不需要任何形式的身份驗證。

因此，很多人指責LeakedSource運營者完全出於利益目的，而不對賬戶泄露者的隱私和安全考慮。

調查LeakedSource幕後運營者

初現端倪「Xerx3s」

出於對LeakedSource的神秘和探究衝動，我對其一直比較感興趣。之前我從多方渠道獲悉，LeakedSource的其中一名管理員，也是在線論壇abusewith[.]us管理員。

abusewith成立於2013年9月，專門提供郵箱和在線遊戲賬號破解業務，論壇成立初期以教學虛擬角色扮演遊戲Runescape的賬號破解而出名。

據abusewith[.]us論壇顯示，其管理員昵稱為」Xerx3s」，從其頭像信息可知，昵稱」Xerx3s」取自波斯國王薛西斯大帝（Xerxes the Great）。

Xerx3s似乎比較擅長破解論壇和Runescape等在線遊戲賬號，同時，他還是遊戲Runescape的主要金幣賣家之一，經常以大折扣向其它玩家出售Runescape遊戲金幣，而這些金幣很可能是通過竊取其他遊戲賬號得來的。

初步試探leakedsourceonline@gmail.com

2016年7月，我打算對LeakedSource網站的幕後運營者進行調查。

一開始我嘗試與其網站提供的郵箱leakedsourceonline@gmail.com進行聯繫，提出採訪要求，之後，我就很意外地收到了來自郵箱leakedsource@chatme.im的匿名Jabber（一種linux實時聊天器）聊天邀請。（後續相關的聊天記錄點此查看）

我想通過這些片面的採訪，了解LeakedSource幕後運營者是如何看待他們所做的這一切。另外，也想進一步確定abusewith[.]us管理員Xerx3s是否和LeakedSource有關。

帶著這些目的和種種問題，最終，在與leakedsource@chatme.im賬戶的交流中，他提到：「2015年，在發生了多起嚴重數據泄漏事件後， 我們注意到了當時的公眾需求趨勢，即大家都想知道自己的賬戶是否受到影響，而當時又沒有可供查詢的特殊渠道。所以，LeakedSource就因這樣的需求應運而生了，而非出於其它目的。

抱歉，由於你的採訪帶有一些隱晦的政治意味，所以，我們打算終止採訪。」，由此可見，LeakedSource幕後運營者對於網站的運營目的相當謹慎，對於提供數據泄露服務之外的話題幾乎避而不談。

就在這次談話過後兩周，一個經常關注網路犯罪地下組織的消息線人告訴我，他最近與Xerx3s聊過，Xerx3s在聊天中向他透露了我之前與leakedsource@chatme.im賬戶的對話內容，我的消息線人還告訴我，Xerx3s使用的聊天賬戶xerx3s@chatme.im，是在創立LeakedSource之前就一直在用的。

而這也說明，Xerx3s可能就是那個與我聊天的LeakedSource聯繫人（leakedsource@chatme.im），或者是那個LeakedSource聯繫人將我們之間的對話內容透露給了Xerx3s。

深挖線索

雖然他在論壇abusewith[.]us的使用昵稱為Xerx3s，而且很多跟他在論壇上比較熟絡的成員都稱他化名」Wade」或」Jeremy Wade」。

化名」Jeremy Wade」的身份所使用的其中一個郵件地址為imjeremywade@gmail.com，根據WHOIS查詢記錄顯示，這個郵箱與註冊於2015年的兩個域名有關聯：abusing[.]rs和cyberpay[.]info，而且在這兩個域名註冊記錄中都出現了「Secure Gaming LLC」公司名稱。

「Jeremy Wade」的相關信息曾在多個數據曝光網站公布的被黑資料庫中出現過，甚至連abusewith[.]us和LeakedSource自己還發布過這些被黑資料庫。

例如在DDoS攻擊服務網站panic-stresser[dot]xyz的泄露數據中，其中一個PayPal賬戶（eadeh_andrew@yahoo.com）利用名字jeremywade在該網站進行過5美金的交易。

而泄漏的資料庫也表明，與Jeremywade賬號綁定的郵箱為2012年7月創建的xdavros@gmail.com，該賬號首次登錄使用的IP為美國密歇根州的動態地址68.41.238.208。

我根據大量的論壇發帖信息發現，郵箱xdavros@gmail.com的所有者還創建了其它很多郵箱地址，包括alexdavros@gmail.com、davrosalex3@yahoo.com、davrosalex4@yahoo.com和themarketsales@gmail.com等。

xdavros@gmail.com曾在2011年註冊了至少四個域名，其中兩個為daily-streaming.com和tiny-chats.com。

這兩個域名的註冊信息顯示，域名擁有者名稱為Nick Davros，地址為密歇根州Muskegon市Dunes大道3757號。

而另外兩個域名的擁有者為Alex Davros，地址同樣為Muskegon市，而且這四個域名使用的註冊電話都是231-343-0295。另外兩個註冊域名為m-forum.us和tinychat.com.co。

我利用IP 68.41.238.208和郵箱xdavros@gmail.com進行網路關聯查詢，又在另外一個網站sinister[dot]ly泄露資料庫中發現了其身影，在該泄露數據中顯示，名為」Jwade」的賬戶通過郵箱trpkisaiah@gmail.com註冊，並以同樣的IP 68.41.238.208執行了首次登錄。

之後，我通過一家提供IP和域名追蹤的安全公司Farsight Security發現，在2012至2014年之前，IP 68.41.238.208地址隸屬著名動態域名服務商no-ip.biz所有。

使用者利用no-ip.biz和其它動態IP服務，能方便地部署網站並修改域名。另據Farsight Security提供的報告顯示，IP 68.41.238.208曾託管過3個域名，包括「jwade69.no-ip.biz」 「wadewon.no-ip.biz」和「jrat6969.zapto.org」。

其中第一個域名jwade69.no-ip.biz曾出現在FBI對」黑影（Blackshades)」黑客組織的通緝域名中。

意外發現：XERX3S被黑了嗎？

去年9月中旬，我曾收到過一條匿名黑客信息，該黑客聲稱他已經入侵了我前面提及的與Xerx3s相關的郵箱themarketsales@gmail.com，他並沒有告訴我對該郵箱的入侵方法，但是通過Xerx3s相關的多個泄漏資料庫顯示，Xerx3s的多個郵箱賬號使用了相同的密碼。

Xerx3s名叫Alex Davros

該匿名黑客向我提供了多幅入侵登錄郵箱themarketsales@gmail.com的截圖，從截圖信息可以看出郵箱賬戶名稱為「Alex Davros」，另外，還可以發現，2015年短期內，該郵箱賬戶在從Leakedsource.com收到了數千美金的Paypal打款。

截圖信息還透露了郵箱themarketsales@gmail.com綁定的Paypal賬戶卻為Secured Gaming LLC的公司名稱所有，該名稱出現在前述分析的兩個域名abusing[dot]rs和cyberpay[dot]info註冊信息中。

另外，通過該匿名黑客提供的其它截圖，我還發現與themarketsales@gmail.com綁定的Paypal賬戶會每月定期向DDoS防護服務商Hyperfliter.com打款，而Hyperfliter.com正是abusewith[dot]us的長期網站託管和DDoS安全防護服務提供商。

Alex Davros的配偶Parker女士

除此之外，這位匿名黑客向我透露，他還成功入侵了「Alex Davros」配偶的郵箱desiparker18@gmail.com。

該郵箱屬於密歇根一位名叫Desi Parker的女士所有，郵箱綁定了Apple iTunes和Instagram賬戶並通過萬事達後四位為7055的信用卡進行日常消費，住址可能為密歇根州馬斯基根市海勒大道868號。

Parker女士的Instagram賬號中把Alex Davros稱為「配偶」，並標記了其電話號碼231-343-0295，前述分析中提到，該電話號碼是域名daily-streaming.com和tiny-chats.com的註冊聯繫號碼，但是該號碼目前已經停機。

另外，從Parker女士的Facebook中得知，她正與名為Alexander Marcus Davros的男子熱戀，而Alex Davros的Facebook賬戶信息卻非常有限，只在其名字欄下方「關於Alexander」的地方填寫內容為「TheKing」。

而Parker的Instagram賬戶信息中則包含了一幅手繪的王冠圖像。（Alex Davros的Facebook賬戶目前已經不能訪問）

而且，另外據我發現，兩個與Jeremy Wade註冊域名相關的郵箱地址matt96sk@yahoo.com和skythekiddy@yahoo.com，在它們所綁定的Facebook賬戶中，都把Alex Davros標記為朋友關係。

順藤摸瓜：梳理關係線索

以下就是我根據所有線索列出的一些詳細關係圖，根據最終推斷，Xerx3s應該就是LeakedSource管理員。（點擊閱讀原文查看原版大圖）

求證：聯繫Alex Davros

我想嘗試通過Twitter聯繫Alex Davros進行私聊，在發出信息之後的一分鐘，他就關注我了，並要求我刪除和他求關注的公開發帖。

之後，他禮貌地向我作出回應：」哇，我很驚訝，但是可以真誠地告訴你，我不是LeakedSource的管理員。」，在我向他出示一些關聯線索之後，他承認他就是Xerx3s，但與LeakedSource無關。

他是這樣回復我的：」I am xer yes but LS no」，之後，他就以有事為由拒絕回復我其它問題。

即使真像Davros說的，他並不是LeakedSource管理員，但所有的線索和關聯信息足以證明，他和LeakedSource網站的運營有著非常緊密的關係。

LeakedSource的合法性探討

表面上，LeakedSource網站運營者給出的理由和解釋似乎合理：他們僅是把泄露在互聯網上或通過其它匿名渠道曝光的數據進行整合，以此為公眾提供服務。

但就我採訪的一些法律專家則認為，如果公訴人有證據證明某人利用LeakedSource出售的密碼和其它相關信息來實施犯罪的話，那麼LeakedSource運營者將面臨刑事指控。

華盛頓大學的網路安全法項目主任Orin Kerr表明，根據計算機欺詐與濫用法（CFAA），販賣他人密碼的行為明顯違法。

CFAA第6節對密碼販賣行為有著特定說明：故意或蓄意販賣通過未授權訪問電腦獲取的密碼和相關信息是違法的。

紐約大學法學院法律與安全中心高級研究員Judith Germano則認為，不排除LeakedSource幕後運營者很可能通過這種表面合法的掩飾，而出於其它目的，收集一些特定賬號密碼信息。

綜合法律專家的觀點來看，由於LeakedSource利用被竊數據，出於經濟利益向公眾提供了付費的泄露密碼查詢服務，這種做法已經觸犯法律。

*參考來源：

KrebsonSecurity

，FB小編clouds編譯，轉載請註明來自FreeBuf.COM。