深扒！雅虎5亿账户遭窃 2亿账户信息暗网黑市叫卖 (雅虎john)

警钟敲响，史上最大规模的单一网站泄露事件发生了！！

这一次，惨遭毒手的是雅虎，美国时间周四下午2点30分，雅虎正式证实其用户信息遭窃，影响账户数目至少为5亿。

此前，虽然盗窃信息早就曝光，但是雅虎一直没有对该事件进行过“官方认定”。

可能稍微值得庆幸的一点是：

雅虎表示，支付卡数据、银行账户信息以及特定密码并未被盗，因为这些信息并未储存在被盗的这一部分系统里。

为了补救，雅虎发布了一系列声明和提醒：

雅虎鼓励用户遵循以下安全建议： SPAn>

今年夏天，已有臭名昭著的黑客 Peace_of_Mind (以下简称 Peace )在暗网上叫卖雅虎被盗的这些信息， 他此前还在暗网上兜售过 LinkedIn、MySpace、Tumblr、Fling.com 和 VK.com 的数据！！！

关于Peace的详细信息，读者可以参考雷锋网之前的一篇报道： 《暗网地下交易：你的密码只值一分钱》

Peace在暗网黑市 TheRealDeal 上对这些数据的描述大致为： 这些数据包含了2012年以来注册的用户信息。他在暗网上将这些数据标价3比特币（目前约为1800美元）。

根据Peace提供的样本， 所以雅虎用户的密码就相当于以明文的方式展现出来，由此可能造成的危害可想而知。

但是，疑点重重的是， Peace 可能不是直接盗取雅虎数据的幕后凶手。

外媒Softpedia在今年8月份对Peace 展开了采访，

雅虎公司已经知悉此次黑市售卖，并且启动了内部调查。雅虎认为， 盗取这些信息的黑客有政府资助背景，但是目前没有证据表明，该黑客仍在雅虎网络中。

黑客和暗网黑市在闷声发大财

令人尴尬的是，Peace 及暗网黑市 TheRealDeal 还在闷声发大财。

我们再来科普下暗网和暗网黑市 TheRealDeal 。

搜索引擎里面所搜索到的内容大部分都是在表面层，表面层网络的特性是允许任何用户访问该网络，比如新闻页面，广告页面，Facebook 个人主页等。

除了表面层的数据以外，剩下的网络数据都处于在Deep Web 里。Deep Web 的特性是访问该数据需要特定的权限。有些页面需要特定的cookie才能访问，除了 Cookie 以外还有各种各样的权限限制种类，比如有些服务器你需要特定的IP才能访问，通过公司VPN访问到的内网环境等。Dark Net 也就是我们俗称的暗网，也可以叫做影子网（shadow web）。这一类网络层属于互联网最隐私的部分。

暗网黑市属于整个互联网最阴暗的一块区域，在这个上面什么东西都会出售。

TheRealDeal 就是暗网市场中的一个，约在2015年3月份诞生。此前，它的主要业务是向黑客兜售零日攻击手段，类似于丝绸之路(SilkRoad)及其大量拥趸，TheRealDeal 使用 Tor 匿名技术加密连接，交易则使用比特币，以隐藏买家、卖家、管理员的身份。

目前市面上的其它网站只售卖基本的低级黑客工具以及泄露的财务信息，而 TheRealDeal 的组建者则表示，希望吸引高端黑客在这里售卖零日漏洞、源代码，甚至提供黑客雇佣服务。这些商品都会很吃香，不过在一些情况下，它们都是独家售卖，并且是一次性销售。

据Softpedia的报道，TheRealDeal 市场上的其它黑客受到了Peace的灵感启发，如今，许多暗网卖家正积极寻求将产品向媒体公开。

因为，由于媒体大肆报道，Peace售卖雅虎数据的销售大幅提升。一位卖家透露，Peace单售卖LinkedIn数据就赚取了约5万美元。Peace表示“比这个金额略高一点，其它数据一起共赚了6.5万美元。”

Softpedia认为，如果真是如此，Yahoo数据的泄露以及大肆报道将帮助Peace在两三个月内净赚超过10万美元。

今天，雷锋网编辑登录了TheRealDeal ，发现其正在遭受攻击，为什么有种喜闻乐见的感觉，吼吼吼。

回顾：史上最大单一网站信息遭窃的纪录

再回到前面，为什么称此次雅虎数据遭窃是”史上最大“？

原来，在账户信息遭窃的历史上，只有俄国黑客2014年窃取12亿账户信息大于此次事件规模，但那是从数百个网站窃取的信息。

如果就单一网站信息遭窃来论，雅虎确实打破了这让人尴尬的历史记录。在此事件之前，排名前3位的单一网站用户信息泄露事件分布是 MySpace 的3.6亿、Linkedln 的1.67亿以及 Ebay 的1.45亿。

很不巧，有两起大案都和Peace有关。

Linkedln “1.67亿”案

今年5月，Peace在网络黑市上叫卖1.17亿个电子邮箱地址及密码的组合，售价为5比特币，也就是2300万美元左右。

科技媒体Motherboard从一家名叫Leaked Source的已泄露数据付费搜索引擎那里获得了部分泄露的数据——约100万条登录信息。Leaked Source更是称其已经获得了总计1.67亿条的泄露的登录信息。Motherboard也表示，经过联系其中的一名受害者详细比对后可以确认，Peace手上的登录信息中，至少有一条可以确认是真实的。

已泄露数据搜索引擎HaveIBeenPwned.com的负责人、网络安全专家特洛伊 亨特表示，他已经联系上了其他两名受害人并确认了细节。不过他表示，他目前尚未得到全部泄露信息来升级他的数据库。

MySpace “3.6亿”案

今年6月，Peace宣称已拿到MySpace用户的3.6亿封邮件和密码。

MySpace数据被盗走的时间不明，但Peace和一个 LeakedSource（被入侵数据的有偿搜索引擎）的操作员说法一致，且后者称有证据表明，数据泄露发生的原因是过去曾有一个未被报告的漏洞。

Peace 和 LeakedSource 都未提供被盗数据的样例。为验证这些泄露的数据是否正确， Motherboard网站将曾在MySpace注册过的三位员工以及两个公司员工的朋友的邮箱地址提交给LeakedSource ，结果 LeakedSource 正确地回复了对应邮箱的密码。

Ebay “1.45亿”案

2014年5月，eBay确认2014年2月底3月初发生大规模用户数据泄露事故，约1.45亿用户数据遭泄露，这些数据包括用户名、电子邮件地址、家庭地址、电话号码和生日等隐私信息，但eBay表示用户密码经过加密处理，黑客并不容易获得，而用户的信用卡数据并未泄露。

原创文章，未经授权禁止转载。详情见 转载须知 。

上一篇：的小米手机6999一路冲到正在解开雷军最大的

下一篇：富途证券更新招股书同比扭亏背后的上市赛富