安全公司报告称12亿被盗凭证遭批评 - 彭博社

bloomberg

摄影:雅各布·凯普勒/彭博社第17届黑帽安全会议吸引了超过9,000名与会者上周前往拉斯维加斯,会议安排了超过100场简报。日程安排想听听关于汽车黑客的消息吗?没问题。家庭警报?当然可以。如何拯救网络空间免受数据泄露和大规模监控?请往南海E房间走。

主要是男性的观众在简报和商业大厅之间流动,抢夺来自诺斯的塑料维京头盔或由AlienVault提供的闪烁绿色灯光的太阳镜,以丰富他们的短裤和T恤搭配。

然而,在赠品和深夜派对中,仍然充满了尖锐的批评。有人说,演讲每年都在变得更糟。而且,这次聚会失去了其技术和极客的风味:“黑帽现在就像RSA一样,”这是对另一个商业会议的引用,在那里公司推销他们的产品和服务。不出所料,黑帽也带有一丝嫉妒——对那些已经成功的安全从业者的羡慕,比如FireEye,去年上市。

黑帽已成为任何有安全新闻要发布的人的重大揭示时刻,理想的时机是最大化关注并提升品牌和业务。因此,在8月5日,位于密尔沃基的一个名为Hold Security的机构发布了一条重磅消息:一个俄罗斯网络犯罪团伙已经积累了超过12亿个被盗凭证——用户名和密码。纽约时报独家报道了这一消息,并在第二天的印刷版头版上大肆宣传:“俄罗斯黑客窃取十亿人的密码。”

对一个名为CyberVor的俄罗斯团队进行了数月的追踪,揭示了从超过420,000个网站窃取的超过十亿个凭证的缓存,Hold在其网站上发布了一篇标题为“你已被黑客攻击!”的 帖子中表示。

十亿:对普通人来说,这是一个令人难以置信、令人恐惧的数字。在黑帽大会上,怀疑论迅速上升。与会者之间的电子邮件来回传递。这到底是多大的事情?公司是否应该采取紧急且可能代价高昂的措施,例如要求企业账户进行全面的密码更改?

Hold向其他安全公司提供的信息很少,无法帮助他们验证这一声明并保护客户,这并没有帮助。或者说该公司利用这一公告来推动一款产品。希望检查其信息是否在缓存中的公司必须注册Hold的泄露通知服务,根据该公司的网站,费用低至每年120美元。

一些备受尊敬的公司表示,这一发布被过度炒作。德勤(Deloitte & Touche)拥有一个主要的网络安全业务,周三向客户发送了一份分析,告知他们对俄罗斯黑客及其数据储备是否存在风险“信心不足”。

德勤分析了Hold Security在二月份披露的早期360百万个被盗凭证的缓存,发现大多数都是重复的。只有29.1%的用户名和密码组合,以及大约五分之一的被盗电子邮件是独特的。

“我们的领域需要审查和信任,”德勤网络风险服务部门的情报负责人兰斯·詹姆斯说。“你不能到处吓唬人们,让他们更改每个密码而不提供更多的信息和背景。否则,这看起来就像是赤裸裸的自我宣传。”

詹姆斯表示,霍尔德没有向其他研究人员提供样本集或分享更多信息,包括缓存是否结合了多个数据集,这一点很奇怪。

“我们只有问题,我们需要一些答案,”他说。

其他研究人员表示,这个庞大的缓存已经被安全专家知晓长达两年。他们一直在追踪这个团伙,并观察这些凭证是否被出售或用于有害的计划,而不是将其变成营销工具。

著名安全博客作者布莱恩·克雷布斯写了他自己对这一发现的 看法,基本上为这项研究作担保。他称霍尔德安全的创始人兼首席信息安全官亚历克斯·霍尔登为“一个有才华且不知疲倦的研究者,以及一个直率和诚实的人。”

克雷布斯解释说,霍尔登的研究是他一些重大独家新闻的核心,例如对 Adobe Systems 的黑客攻击,暴露了数千万客户记录。克雷布斯帖子下的评论区爆炸了。

一位评论者“鲍勃”特别尖锐:“霍尔德安全有什么权利通过出售这些数据获利?难道有人把关于我的被盗数据卖回给我,这不算技术上的敲诈吗?”

“怀疑者”写道:“我也在黑帽大会。每次讨论我听到的都包括对亚历克斯收取费用以找出受影响的提供商的翻白眼。他并没有交到很多朋友。”

霍尔登表示,他会回复那些想知道自己是否被黑客攻击的公司,即使他们没有注册付费服务,尽管通过注册付费服务,他们可能会得到更快的回应,因为该服务自动化了这个过程。

“我们从来没有打算从我们认为是受害者的人那里收取任何费用,”霍尔登在一次电话采访中说。“我们至今还没有从这些事情中获得一美元。”

至于技术指标,他们提供了他们所知道的,包括攻击方法,SQL注入,霍尔登说。(“SQL注入”是一种相对简单的技术,通过在用户名和密码字段中注入代码来访问公司网站上的客户数据。)他补充说,Hold Security正在向执法部门提供关于CyberVor团伙的信息。

霍尔登同样无法回答关键问题,即罪犯为什么会积累所有这些信息以及他们打算如何处理这些信息。

“我们真的不知道他们在想什么,所以猜测他们为什么这样做纯属我的推测,”霍尔登说。“他们在用这些信息做什么,谁知道呢?”

正如网络专注风险投资公司In-Q-Tel的首席信息安全官丹·吉尔在他的主题演讲中所说:“每位演讲者、每位作者、每位网络安全领域的从业者都希望他们的话题,以及我们与之相关的,能够被认真对待,他们的愿望得以实现。网络安全正在被认真对待,而你也知道,这并不意味着被有效、连贯或持久地对待。”

(更新:添加了周一发布的会议修订后的出席人数。)