资安媒体Hackread近日发现,一位名为Fenice的使用者于Breach Forums骇客论坛上公布了14亿笔的腾讯用户资料。
腾讯为中国最大的网路公司,不仅是中国知名的游戏开发业者,也打造出热门的QQ与微信社交平台,触角还伸及教育及支付等领域。Fenice释出的资料库多达500GB,内含手机号码、电子邮件信箱及QQ ID等腾讯用户资讯。
Hackread怀疑此一资料库源自于今年1月曝光的Mother of All Breaches(MOAB),因为在这个总计12TB,内含3,800个资料夹与260亿笔外泄资料的MOAB中,最多的就是腾讯的15亿笔。
资安专家认为MOAB是众多外泄资料的合辑,之后并确定该资料来自于外泄资料搜寻引擎Leak-Lookup。当时Leak-Lookup宣称,是因为防火墙的配置错误才让MOAB曝光。
Leak-Lookup不仅收集外泄资料,也提供付费搜寻服务,以让使用者从众多的资料外泄事故中查找资讯,包括姓名、电子邮件地址、使用者名称、电话号码及密码等,尽管它宣称该服务只能被用于个人安全,却因该服务也会被犯罪集团利用而存在著争议。
Have I Been Pwned(HIBP)创办人Troy Hunt形容,类似Leak-Lookup的服务就好像是暗黑版的HIBP,市场上存在一个资料外泄的个人收藏生态体系,这些外泄资料有点像是棒球卡,人们彼此交换著手中没有的卡片,只是棒球卡换走了就没有了,但数位资料却是愈换愈多,不断地复制与膨胀。