安全公司報告稱12億被盜憑證遭批評 - 彭博社

bloomberg

攝影:雅各布·凱普勒/彭博社第17屆黑帽安全會議吸引了超過9,000名與會者上週前往拉斯維加斯,會議安排了超過100場簡報。日程安排想聽聽關於汽車黑客的消息嗎?沒問題。家庭警報?當然可以。如何拯救網絡空間免受數據泄露和大規模監控?請往南海E房間走。

主要是男性的觀眾在簡報和商業大廳之間流動,搶奪來自諾斯的塑料維京頭盔或由AlienVault提供的閃爍綠色燈光的太陽鏡,以豐富他們的短褲和T恤搭配。

然而,在贈品和深夜派對中,仍然充滿了尖鋭的批評。有人説,演講每年都在變得更糟。而且,這次聚會失去了其技術和極客的風味:“黑帽現在就像RSA一樣,”這是對另一個商業會議的引用,在那裏公司推銷他們的產品和服務。不出所料,黑帽也帶有一絲嫉妒——對那些已經成功的安全從業者的羨慕,比如FireEye,去年上市。

黑帽已成為任何有安全新聞要發佈的人的重大揭示時刻,理想的時機是最大化關注並提升品牌和業務。因此,在8月5日,位於密爾沃基的一個名為Hold Security的機構發佈了一條重磅消息:一個俄羅斯網絡犯罪團伙已經積累了超過12億個被盜憑證——用户名和密碼。紐約時報獨家報道了這一消息,並在第二天的印刷版頭版上大肆宣傳:“俄羅斯黑客竊取十億人的密碼。”

對一個名為CyberVor的俄羅斯團隊進行了數月的追蹤,揭示了從超過420,000個網站竊取的超過十億個憑證的緩存,Hold在其網站上發佈了一篇標題為“你已被黑客攻擊!”的 帖子中表示。

十億:對普通人來説,這是一個令人難以置信、令人恐懼的數字。在黑帽大會上,懷疑論迅速上升。與會者之間的電子郵件來回傳遞。這到底是多大的事情?公司是否應該採取緊急且可能代價高昂的措施,例如要求企業賬户進行全面的密碼更改?

Hold向其他安全公司提供的信息很少,無法幫助他們驗證這一聲明並保護客户,這並沒有幫助。或者説該公司利用這一公告來推動一款產品。希望檢查其信息是否在緩存中的公司必須註冊Hold的泄露通知服務,根據該公司的網站,費用低至每年120美元。

一些備受尊敬的公司表示,這一發布被過度炒作。德勤(Deloitte & Touche)擁有一個主要的網絡安全業務,週三向客户發送了一份分析,告知他們對俄羅斯黑客及其數據儲備是否存在風險“信心不足”。

德勤分析了Hold Security在二月份披露的早期360百萬個被盜憑證的緩存,發現大多數都是重複的。只有29.1%的用户名和密碼組合,以及大約五分之一的被盜電子郵件是獨特的。

“我們的領域需要審查和信任,”德勤網絡風險服務部門的情報負責人蘭斯·詹姆斯説。“你不能到處嚇唬人們,讓他們更改每個密碼而不提供更多的信息和背景。否則,這看起來就像是赤裸裸的自我宣傳。”

詹姆斯表示,霍爾德沒有向其他研究人員提供樣本集或分享更多信息,包括緩存是否結合了多個數據集,這一點很奇怪。

“我們只有問題,我們需要一些答案,”他説。

其他研究人員表示,這個龐大的緩存已經被安全專家知曉長達兩年。他們一直在追蹤這個團伙,並觀察這些憑證是否被出售或用於有害的計劃,而不是將其變成營銷工具。

著名安全博客作者布萊恩·克雷布斯寫了他自己對這一發現的 看法,基本上為這項研究作擔保。他稱霍爾德安全的創始人兼首席信息安全官亞歷克斯·霍爾登為“一個有才華且不知疲倦的研究者,以及一個直率和誠實的人。”

克雷布斯解釋説,霍爾登的研究是他一些重大獨家新聞的核心,例如對 Adobe Systems 的黑客攻擊,暴露了數千萬客户記錄。克雷布斯帖子下的評論區爆炸了。

一位評論者“鮑勃”特別尖鋭:“霍爾德安全有什麼權利通過出售這些數據獲利?難道有人把關於我的被盜數據賣回給我,這不算技術上的敲詐嗎?”

“懷疑者”寫道:“我也在黑帽大會。每次討論我聽到的都包括對亞歷克斯收取費用以找出受影響的提供商的翻白眼。他並沒有交到很多朋友。”

霍爾登表示,他會回覆那些想知道自己是否被黑客攻擊的公司,即使他們沒有註冊付費服務,儘管通過註冊付費服務,他們可能會得到更快的回應,因為該服務自動化了這個過程。

“我們從來沒有打算從我們認為是受害者的人那裏收取任何費用,”霍爾登在一次電話採訪中説。“我們至今還沒有從這些事情中獲得一美元。”

至於技術指標,他們提供了他們所知道的,包括攻擊方法,SQL注入,霍爾登説。(“SQL注入”是一種相對簡單的技術,通過在用户名和密碼字段中注入代碼來訪問公司網站上的客户數據。)他補充説,Hold Security正在向執法部門提供關於CyberVor團伙的信息。

霍爾登同樣無法回答關鍵問題,即罪犯為什麼會積累所有這些信息以及他們打算如何處理這些信息。

“我們真的不知道他們在想什麼,所以猜測他們為什麼這樣做純屬我的推測,”霍爾登説。“他們在用這些信息做什麼,誰知道呢?”

正如網絡專注風險投資公司In-Q-Tel的首席信息安全官丹·吉爾在他的主題演講中所説:“每位演講者、每位作者、每位網絡安全領域的從業者都希望他們的話題,以及我們與之相關的,能夠被認真對待,他們的願望得以實現。網絡安全正在被認真對待,而你也知道,這並不意味着被有效、連貫或持久地對待。”

(更新:添加了週一發佈的會議修訂後的出席人數。)