史上最大7.11億電子郵件賬戶數據被泄，匿名攻擊者向其群發木馬病毒郵件

E安全9月1日訊 巴黎安全研究人員Benkow率先發現身份不明的黑客攻擊了荷蘭一台開放訪問的伺服器，該伺服器的7.11億個電子郵件賬戶數據被泄。這是Have I Been Pwned（知名搜索資料庫）上收錄的迄今為止泄露的最大的數據量，之前的記錄是River City Media數據泄露，當時該事件曾造成的3.93億條電子郵件數據泄露。

泄露事件的過程及細節

垃圾郵件發送者可利用這些電子郵件憑證通過合法電子郵件伺服器發送電郵繞過垃圾郵件過濾器，從而大規模傳播惡意軟體。

Benkow提醒Have I Been Pwned的安全專家特洛伊·亨特注意。亨特8月30日發表博文稱，Benkow向他解釋了如何定位到垃圾郵件程序「Onliner」使用的設備，並向他提供了IP地址路徑（位於荷蘭）查看以下目錄：

這個目錄包含兩類重要的數據：

• 電子郵箱：大量電子郵箱地址用於傳送垃圾郵件。

• 電子郵箱和密碼：Benkow解釋稱這些憑證可濫用郵箱所有者的SMTP伺服器傳送垃圾郵件。Benkow認為其中許多憑證來自其它數據泄露事件。

亨特的電子郵箱也在泄露之列：

這裡顯示亨特的國家代碼為英國，然而實際上並非如此，由此可見，郵件地址存疑。

含「NewFile_」前綴的其中一個文件包含超過4.3萬行電子郵箱地址與澳大利亞道路與海事服務廳（Roads and Maritime Services）有關：

每行均包含RMSETollDontReply@rms.nsw.gov.au，後面帶有「support@」，大部分域名為.com.au，但也有1.3萬個.ru（俄羅斯域名）域名。這些電子郵箱地址被用來發送與電子路橋費繳費器「E-Tag」相關的通知。亨特就曾收到此類垃圾郵件：

亨特認為，通過俄羅斯電子郵箱地址使用新南威爾士州道路收費系統的合法司機不會很多，很顯然，這些賬戶常量是自動生成的。亨特之前看到過類似的B2B USA Businesses垃圾郵件列表，有關評論如下：

這些數據中還包含一些很差的解析數據，例如以下數據，並且還出現了兩次：

Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk。

此外，有一個以數字命名的文件還包含120萬行如下數據：

亨特隨機選擇其中十幾個不同的電子郵箱地址發現，其中的地址屬於LinkedIn被泄的數據。

另外還有一個文件包含超過3000條電子郵箱、密碼、SMTP伺服器和埠（25和587都是常見SMTP埠）記錄：

此外，有些文件中還包含相當混亂的數據，似乎文件名包含SQL:

這台伺服器似乎與惡意軟體Ursnif有關。亨特不止發現電子郵箱地址，還發現幾千個電子郵箱/密碼組合，以及SMTP伺服器設置。

Benkow解釋稱，要發送垃圾郵件，攻擊者需要大量SMTP登錄憑證，攻擊者要麼創建，要麼就得購買，一般SMTP憑證收集完成，就可以注入垃圾郵件程序（Spambot），而這個特殊的垃圾郵件程序被稱為「Onliner」，該程序至少自2016年開始活動。

8000萬SMPT登錄憑證有效

Onliner使用荷蘭這台開放的伺服器將Ursnif惡意軟體傳送至全球的電子郵箱。Ursnif因竊取大量軟體和瀏覽器的數據而臭名昭著，尤其銀行業面臨的攻擊風險最大。Onliner獲取了7.11億個SMPT登錄憑證，包括電子郵箱地址、密碼和電子郵件伺服器，其中8000萬個憑證仍有效，並用來攻擊餘下的6.31億個賬號，以繞過反垃圾郵件軟體。

據稱，存在問題的電子郵箱包含肉眼無法看見的1x1像素的GIF圖片。

Benkow警告稱，當用戶打開垃圾郵件時，用戶的IP地址和用戶代理請求會被發送至託管GIF圖片的伺服器。垃圾郵件發送者需了解三件事：首先是用戶已經打開了電子郵件，其次，用戶在哪裡打開的電子郵件，以及用戶在哪台設備上打開了電子郵件。攻擊者還會收到電子郵箱地址有效的確認信息。

你的電子郵件賬號信息泄露了嗎？

這起泄露事件中的數據量「令人難以置信」，Have I Been Pwned現在已經將這些電子郵箱納入搜索資料庫，用戶可查看自己的賬號是否在數據泄露事件中被泄。查詢入口：https://haveibeenpwned.com/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！