信息來源：4hou

日常生活中，我們如果有什么不懂的問題，很自然的會Google或百度一下，Google或百度現在已經成為了搜索的另一種稱呼，今年發(fā)生了許多賬號泄露和酒店信息泄露的事件，我想你現在一定非常想知道你的賬號是否被泄露了，那你應該去哪里才能搜索到這些被盜的信息呢？去Google或百度嗎？我想Google或百度目前的搜索還不可能這樣專業(yè)。所以這個時候，我們就需要使用像數據泄露索引服務公司LeakedSource和Have I Been Pwned這樣的專業(yè)搜索服務了。

LeakedSource主頁面

Have I Been Pwned主頁面

截至目前， LeakedSource的數據庫總共收集了超過30億被黑客攻擊的泄露賬戶信息。

2016年是數據泄露的爆發(fā)元年，各種泄露事件層出不窮，泄露的數據量級也越來越大，轉眼2018就快要過完了，在比較有名的這些社交網站和網絡服務公司中，你還記得有哪些公司的數據被黑客入侵過，有哪些沒有？由于人總是容易忘卻的，一些在當時轟動一時的信息泄露事件隨著時間的推移，不論是公司還是個人都很難跟蹤到那些泄漏的具體數據了，并且由于用戶經常在多個網站和服務使用相同的登錄信息，受害者往往很難確定自己哪些賬號信息已經泄露，需要更改哪些信息。為了解決這個問題，一些泄露賬戶信息的一站式聚合網站就出現了。像LeakedSource和Have I Been Pwned這樣的工具就可以幫助我們查詢這些被泄露的信息，讓公司能夠查找的具體的信息然后查缺補漏。

LeakedSource是一個黑客數據檢索引擎，它會提供一種基本的服務，不管是公司還是個人都可以在該平臺注冊和搜索黑客數據庫，LeakedSource會向用戶以電子郵件的形式通知信息泄露的消息，這些都是免費的，但該平臺還提供了更加高級的黑客數據庫搜索功能，這個就需要收費了，另外LeakedSource還為企業(yè)提供了付費服務，就是當注冊的企業(yè)的數據發(fā)生泄漏時，它可以提醒企業(yè)，讓他們提醒那些具體的受到黑客攻擊影響的用戶，這個收費服務開始于2015年年底。LeakedSource的發(fā)言人稱，已在2016年初發(fā)布總計20-30個被黑客攻擊過的網站的數據，大約1.05億條。

LeakedSource的發(fā)言人表示：

我們最初開始這個項目的時候，是因為很多公司是不告訴用戶他們的信息被黑客攻擊了，另一方面95％被黑客攻擊過的公司都沒有注意到他們被人攻擊了，因為公司不會時時刻刻都盯著數據庫的后臺。有了這個專門揭露黑客數據的搜索平臺后，一旦某個平臺被攻擊后，不論是個人還是團體，都可以在這里迅速的跟蹤他們帳戶中的哪些帳戶被盜，公司的哪些數據已失竊。至少，可以幫助他們跟蹤到哪些密碼容易被攻破，提示他們進行密碼更改。LeakedSource也允許人們看到具體的關聯數據，如他們失竊的電話號碼是否和他們的名字進行了關聯。這么多的信息反饋，甚至連用戶當時注冊的時候都未必注意過。

LeakedSource的發(fā)言人接著說：

我們的平臺維護人員來自世界各地，其中很多都是兼職，有的還在學校上學，但他們都在運營平臺，管理數據庫和分析數據，現在還沒有人知道LeakedSource的服務器位于哪？因為這樣就可以防止黑客攻擊我們。

除了LeakedSource之外，還有“Have I Been Pwned”，“Have I Been Pwned”搜索網站成立已經5年了，2016年安全研究人員Troy Hunt想為全世界的安全人員帶來點福利，于是決定把網站的絕大部分數據共享出來。

Hunt表示分享這些數據是為了研究人員做分析，不想給任何人帶來風險。由于擔心有人受到傷害，Hunt去掉了數據集中的三項敏感信息：

1.所有的個人身份信息；

2.所有賬戶的域名；

3.所有敏感的數據泄露信息。

Hunt表示：

現在，我正在構建一個平臺，以快速整合未來數據泄露的信息，并讓可能受影響的用戶可以快速搜索這些信息，幫助用戶來應對未來的數據泄露事故。我們這么做就是要強迫那些信息泄露的公司要對他們的用戶負責，而不是通過媒體泛泛的表示公司的數據泄露了等不負責任的做法。

LeakedSource和Have I Been Pwned網站都聚合了多起安全泄露事故中泄露的賬號信息，而不只是只針對于特定的事件。比如LeakedSource就有交友網絡（Friend Finder Network）網站20年來的信息。LeakedSource和Have I Been Pwned網站的功能基本類似，就是讓潛在的受害者可以查詢電子郵件地址（沒有存儲密碼信息），然后該網站會確定這個地址是否在泄露賬號信息數據庫中。

不過對于LeakedSource和Have I Been Pwned這樣的網站，還有企業(yè)有反對的聲音，2016年8月，LeakedSource就報道過黑客利用vBulletin論壇中存在的多個SQL漏洞，對其發(fā)動了攻擊，并泄露了來自10多個網站中約2700萬用戶的個人信息。事后Mail.ru公司的發(fā)言人這樣說道：

在事件原因尚未水落石出之時，我們已經發(fā)現有大量的媒體在報道此事，使我們公司陷入到了輿論大眾口誅筆伐的漩渦之中，影響極其惡劣。而爆料人正是LeakedSource公司?，F在，廣大媒體都在奉行著這樣一個潛規(guī)則，即：有些數據服務公司在公開披露一個安全漏洞之前，不是先通知相關的服務商，要求其進行修復；而是將自己所掌握的信息迅速爆料給媒體，讓其大肆報道，毫不顧及相關公司的感受和利益。這對每一家IT公司的名譽都會造成不可估量的影響。而正是由于有類似于LeakedSource這樣的公司存在，使得這種潛規(guī)則橫行。現在，全球范圍內的很多白帽黑客也開始效仿他們的這一做法了。

所以像LeakedSource和Have I Been Pwned這樣的商業(yè)模式是否道德還有待進一步觀察，除了道德之外，它們還受到了來自其它方面的懷疑，比如平臺如何盈利的問題，是否涉及披露機密信息，是否與執(zhí)法機構進行合作等。對此我們一一進行了分析，在何盈利的問題上，LeakedSource和Have I Been Pwned的產品會向用戶提供個性化的關聯數據，滿足了用戶的好奇心，比如用戶可能會花費幾美元來檢測一下他們的哪個用戶名被泄露了或哪個電子郵件被攻擊了，但是安全咨詢公司Casaba Security的首席科學家John Michener卻表示：

這樣的具體信息查詢，也可能為黑客提供了另一個查詢個人信息的渠道，幫助犯罪分子進一步利用泄露的信息就行犯罪，另外LeakedSource這樣的公司在某種程度上是利用泄露的公共信息來盈利，然而讓安全問題更糟。

在是否涉及披露機密信息這個問題上，LeakedSource的發(fā)言人表示：

在任何情況下，我們都不會銷售用戶在其網站上搜索的數據。而且我們發(fā)布的數據都是已經公開的被盜竊信息，另外，我們的做法是完全非政治性的，如果人們要了解那些泄露的機密信息還是去維基解密吧。

安全咨詢公司Casaba Security的首席科學家John Michener表示：

LeakedSource和Have I Been Pwned網站基本上試圖以靠買賣敏感信息來賺錢，這會進一步加劇黑客的攻擊，另外，這些信息如何賣給執(zhí)法機構，則情況會更糟。

但LeakedSource的發(fā)言人表示：

我們會把這些泄露的數據存儲在折中的數據庫中。

不過事情并不像LeakedSource的發(fā)言人說的那么光明，2016年10月LeakedSource本身也被黑客給攻擊了，一位名叫“Chris Poole”（@ codingplanets）的用戶在pastebin上發(fā)表了一份帖子并在帖子中聲稱自己成功入侵了Leakedsource.com的兩臺網絡服務器。他不僅在其網絡系統中發(fā)現了該網站用于記錄用戶搜索信息的日志，而且還發(fā)現該網站的支付系統中存在安全問題。除此之外，他還獲取到了該網站用于存儲用戶資料的數據庫內容。

對此LeakedSource的支持者Netsparker（一個便于使用的Web應用漏洞掃描工具，可以爬行、攻擊并識別各種Web應用中存在的漏洞）公司的營銷經理Robert Abela表示：

他們并沒有做什么非法的行為，他們這樣做只是想為他們的用戶提供更好的服務。

總的來說，像LeakedSource和Have I Been Pwned這樣的平臺并不是想利用泄露的數據來賺取多少利潤，而是想整合那些已經被泄露的信息，讓個人方便的查詢自己賬戶信息的安全狀態(tài)，用Hunt 話來說就是：

現在，攻擊者和其他想要利用數據泄露事故的人能夠迅速獲得和分析數據，但一般用戶卻不能輕松地獲取千兆字節(jié)的壓縮賬戶信息，以確定他們的信息是否被泄露，所以現在，我正在構建一個平臺，以快速整合未來數據泄露的信息，并讓可能受影響的用戶可以快速搜索這些信息，幫助用戶來應對未來的數據泄露事故。

我相信這樣的特殊化服務在將來大家極其重視安全的年代一定很有發(fā)展前景，相信你也迫不及待的想檢查一下自己的賬戶是否安全？

據cnbeta的一則9月的報道，Mozilla正式推出了一個名為Firefox Monitor的獨立隱私數據泄露通知服務。用戶只需導航到Firefox Monitor并提供您的電子郵件地址即可。然后將它自動與您的瀏覽數據與Have I Been Pwned的超過31億個已確認的出現安全問題網絡地址的龐大數據庫進行比較。比如，在火狐的Firefox Mnitor上查詢一個結果，它會顯示“泄露數據由 Have I Been Pwned 提供”。