Pages

Saturday, 16 July 2016

全面梳理TheCthulhu.com网站公布的那些泄露数据,并扒一扒TheCthulhu其人

前言

2015年和2016年,数据泄露事件日益频发,黑客窃取数据手段层出不穷。在暗流涌动的数据泄露事件之中,在数据泄露源被及时封堵,在相关黑客被涉案逮捕之后,一个“神奇”的网站 www.thecthulhu.com 出现了,该网站通过匿名方式获取并公布了一些重要泄露数据,如FBI-DHS雇员信息、CIA局长邮箱信息、NASA无人机信息、Myspace和LinkedIn泄露数据等信息,并提供数据持续下载。
在此,就网站 www.thecthulhu.com 的相关泄露数据作出盘点和梳理,以供大家研究参考。对于文中涉及到的数据,借用网站创建人 TheCthulhu 的话 “I make no particular guarantees for the contents below other than hoping it is used responsibly.”。

一、Thecthulhu 网站公布的泄露数据
1 、FBI-DHS大量雇员个人信息

数据公开时间:2016-2-11
数据:
美国联邦调查局(FBI)20,000名雇员、美国国土安全部(DHS)9000名雇员信息。涉及到两个情报机构的多个部门员工,包括:承包商、生物学家、特工、操作人员、技术人员、情报分析人员、语言专家等,泄露信息包含姓名、职称、电子邮件地址以及电话号码等。
fbileak.jpg
数据窃取者:@DotGovs。这名黑客声称他成功地从美国司法部门的计算机中窃取了上百GB的数据,黑客声称已经成功获得在1TB的政府数据,但是只下载了大约200GB的数据。之后,该帐户被twitter吊销。
反应:2016年2月8日,美国国土安全部的发言人S.Y.Lee通过电子邮件作出了以下回复:“我们对新闻报道的相关信息进行了分析,并且对与此次事件有关的国土安全部员工进行了调查。我们非常重视这个问题,但是就我们目前的分析和调查所得出的信息,目前还没有任何证据可以表明我们的遭到了攻击,而且我们也没有发现有员工的个人隐私信息泄漏了出去。”,之后,有一名FBI的情报分析人员和国土安全部的员工表示,他们的个人隐私信息被公布在了网上。2月18日,英国东南地区罪犯调查部门以涉嫌网络攻击和数据泄露逮捕了一位16岁少年黑客。
数据下载链接:https://fbidhs.thecthulhu.com/
 2 、CIA 局长John Brennan 电子邮箱

数据公开时间:2015-10-12
数据:
包括布伦南有关安全机密建议的47页申请。布伦南社安号码(SSN)以及超过十几个高级情报官员的私人信息。一封关于对恐怖分子嫌疑人使用的“严厉审讯手段”的政府信件。
brennan-leak-20oct2015.jpg
数据窃取者:CWA group (@phphax & co)。黑客声称通过反向调查获得了布伦南的手机号码,得知其运营商Verizon,于是冒充Verizon技术员向运营商索要布伦南的详细信息。具体来说,利用布伦南某些个人信息,比如他银行卡的后四位数(Verizon轻松透露给他们的),黑客们就成功重置了布伦南AOL邮箱的登录密码。
反应:2015年10月19日,CIA称会继续就黑客入侵事件进行调查,但没有确认邮箱被侵入。
PS: 黑客攻击过程中布伦南一直试图登录邮箱,但都未能成功。布伦南一把密码修改回来,他们同样也去申请重置,就这样过了几个回合。最后,他们忍不住通过网络电话拨通布伦南的手机,告诉对方“你被黑了”!整个通话持续了几秒钟时间。



布伦南问:你们想要干什么?
黑客说:2万亿美元,哇哈哈哈。
布伦南说:你们到底想要多少钱?
黑客说:我们想让巴勒斯坦恢复自由,而你们最好别再滥杀无辜。
数据下载链接:https://cia.thecthulhu.com/
3 、NASA无人机相关泄露数据

数据公开时间:2016-1-31
数据:
NASA内部大量无人机飞行日志和记录视频,以及一些NASA职员的邮箱地址、电话号码等,一架“全球鹰”无人机网络被攻击。
2016-07-14_204254.png
数据窃取者:黑客组织AnonSec通过名为”OpNasaDrones”的攻击活动获取数据。
反应:2016年2月4日,NASA发言人告诉媒体,AnonSec宣称截获的数据其实都是已经对外公布了的。“控制我们的‘全球鹰’无人机是不可能的,”他说道,“NASA非常重视网络安全问题,对于目前这些说法他们将继续展开全面调查。”
数据下载链接:https://nasadrones.thecthulhu.com/
4 、土耳其国家警察局泄露数据

数据公开时间: 2016-2-15
数据:
公布的数据包约有2GB,但将其解压之后则有17.8GB的信息量。所有数据都以.myd和.myi的格式存在(.myd  .myi都是MYSQL格式)
lnnt5vzngou98a.png
数据窃取者:名叫ROR(RG)的黑客 ,他声称其实早在两年前就已经尝试过攻击土耳其警察局服务器,同时期,他还曾渗透到其他政府系统。他之所以公布这些信息则是因为他相信,土耳其警察内部存在严重的腐败现象。
反应:土耳其刑事法院通过 twitter 就Thecthulhu 网站公布的泄露数据向 Thecthulhu 发布了法律文件。
数据下载链接:https://turkey.thecthulhu.com  (说明:文件下载后数据为加密数据,且包含一个名为 sorgu.exe 的文件,多数杀毒软件警告其为木马类文件,也有安全分析人员声称这是黑客使用的一个数据查询软件,分析详见:1  2,请谨慎下载使用!)
5、美国警察同业会(FOP)泄露数据

数据公开时间:2016-1-28
数据:
包含某些FOP成员的个人信息、警署与地方机构之间的合同信息、以及FOP论坛上的一些种族言论。还有一些“协议或合同”文件,其中都包括FOP与当地一些服务部门的合同,例如一些清洗车辆的开支费用、采购徽章的费用等。
数据窃取者:FOP声称为不明身份的海外黑客或组织;FBI在调查中使用IP地址追踪方式,确认了一处英国IP地址;Cthulhu声称文件通过秘密渠道提交给他。
反应:2016年1月28日,FOP发言人Chuck Canterbury 第一时间表示:“我们的计算机专家已经发现黑客是通过什么方式获取到信息的,但目前还不能透露相关的信息,只能说明一件事,那就是其中的过程相当复杂。”,目前,没有黑客个人或组织声称对此次事件负责。
数据下载链接:https://fop.thecthulhu.com
 6、 DDoS防护公司Staminus泄露数据

数据公开时间:2016-3-12
数据:
Staminus注册客户的用户名、密码哈希值,以及客户的一些其他信息。可能包括客户的真实姓名、通信方式和支付卡数据等敏感信息。
数据窃取者:不明身份黑客。以字符“Fuck’em all” 编辑泄露文件。
反应:2016年3月11日,Staminus公司CEO Mahvi 发表声明,其公司网络系统中的多个路由系统遭受了非常罕见的黑客攻击,公司骨干防护网络陷入了瘫痪状态。已经在积极地相关执法部门进行合作调查。
PS: 在这次泄露事件之前,StackPath公司计划收购Staminus公司,基于此,数据泄露者希望StackPath公司在选择安全公司时认真考虑。
数据下载链接:https://staminus.thecthulhu.com
7 、Myspace泄露数据

数据公开时间:2016-6-28
数据:
泄露数据包含相关邮箱账号和密码信息。解压前15G左右,解压后35G左右。大约涉及427 Million 约4亿2700万人信息。在暗网被自称为“Peace”的黑客以6比特币出售。
1464383140572208.png
数据窃取者:Myspace 自称证实了用户数据是被自称“Peace”的俄罗斯网络黑客窃取的。
反应:2016年5月31,Myspace发表声明,称此次泄露对Myspace 的其他系统、付费用户信息及其它媒体资产没有影响,泄露的数据中也不包含任何财务信息。但Myspace 目前正在通知用户,并已经让已知受影响帐户的密码失效。公司称,正在使用自动化工具,以便识别和阻止 Myspace 帐户出现任何可疑的活动。
目前,影响仍在继续,这是长亭科技近期对此次泄露数据的分析:长亭科技
数据下载链接:https://myspace.thecthulhu.com
8 、LinkedIn 泄露数据

数据公开时间:2016-6-9
数据:
约1.17亿用户电子邮箱及密码和其它个人资料信息。在暗网被自称为“Peace”的黑客以5比特币出售。
1463553911538141.png
数据窃取者:自称为“Peace”的俄罗斯黑客。
反应:2016年5月18日, LinkedIn CEO发表博客,表示该次黑客入侵事件是2012年的延伸,影响比想象中的严重,已经通知受影响用户,并用户设置强壮密码,同时还开启两步验证。而据thecthulhu介绍,其此次公布的LinkedIn数据资料与黑客“Peace”售卖的资料相同。据安全专家分析,这些数据中包含的密码信息仅以SHA1哈希方式加密,未做加盐(salted)处理。
数据下载链接:https://linkedin.thecthulhu.com/
9 、情报机构人员保险合同(Insurance Policy)泄露数据

数据公开时间:2016年1月20日
数据:
据估计可能涉及某些情报机构人员保险合同或单据资料。文件被以强壮密码加密。
数据窃取者:不明身份人员。
反应:还未有相关机构或人员作出回应。
Thecthulhu对此文件的声明:此泄露数据中包含了一些pdf 、doc、 ppt 、图片以及sql 文件,我不对这些文件作以评论。每一个下载这些文件的人都是为民主服务。文件中那些记录在案的人,应该为他们的暴行负责。若时机成熟,我会自行或以其它代理方式公布加密密码,而且我不是唯一一个拥有这些文件的人。
请那些人们,参照这个网站好好考虑吧: https://www.intelexit.org  (Intelexit 组织网站)
Intelexit 组织:由一群政治激进主义人士发动,旨在鼓励英美情报机构雇员重新审视工作道德,停止为情报机构服务。对于响应号召放弃工作的人,这些激进主义人士将帮助他们改变工作、寻找法律代表,并提供心理咨询。
数据下载链接:https://insurance.thecthulhu.com/
10 、著名网站空间商 000webhost 泄露数据

数据公开时间: 2015-10-27
数据:
000webhost 空间1350万注册用户信息,包括用户名、明文密码、邮箱地址、IP地址、用户真实姓名等。据悉,早在2015年5月这些数据就在网上被公开兜售,价格高达2000美元。
数据窃取者:不明身份黑客。
反应:2015年10月28日,000webhost在其官方Facebook上确认了公司被黑客攻击,确认声明:我们已经发现我们的主服务器上的数据库被泄露。黑客是使用老版本PHP中含有的一个exp上传一些文件,从而获得访问的系统。尽管整个数据库都被入侵了,但我们最担心的是客户信息。
PS:  早在2015年5月,一名澳大利亚籍的微软 MVP Troy Hunt收到了黑客“叫卖” 000webhost 用户数据的邮件后在博客中披露了相关信息,且经过测试后发现 000webhost 网站本身存在的安全问题,但多次联系 000webhost 官方人员却未得到任何回应。同期,000webhost 站长 Aurimas Rapalis 被害身亡,据悉,Aurimas Rapalis 于公寓内与他人发生冲突并在冲突中受伤,随后被送到医院救治无效后身亡。肇事者于6月份被捕。
数据下载链接:https://000webhost.thecthulhu.com/
11、 Patreon 网站泄露数据

数据公开时间:2015-10-4
数据:
泄露数据包括Patreon网站15GB个人隐私数据,包括密码、捐款记录、以及被骇客窃取的源代码(Patreon 为一个众筹和捐赠网站)
数据窃取者:网站Patreon称近期收到邮件称,如果想要要回信息,需要向他们提供1比特币的赎金,并还在上面附上了提交比特币的网站,邮件来自邮箱 Sharingservices@aol.com
反应:2015年10月1日,Patreon CEO Conte 发表声明,称网站是在9月28日发觉被非法入侵,恶意攻击者入侵的是正在公开测试的网站,该测试网站含有一个运作中的资料库快照。
数据下载链接:https://patreon.thecthulhu.com/
12、地下黑客论坛Nulled 泄露数据

数据公开时间:2016-4-6
数据:
数据被包含于一个1.3GB的tar归档文件当中,其压缩自总计9.45GB的db.sql文件,即论坛数据库的完整副本。这批数据包含53万6064个用户账户、80万593条用户个人消息、5582条购买记录以及1万2600份发票。泄露的数据则包含其论坛用户名、电子邮箱地址、哈希密码、注册日期、IP记录以及标题与文章数等论坛相关信息。
数据窃取者:不明身份黑客
反应:据安全公司 Riskbased security调查声称,数据泄露的真正原因目前尚不明确,但该安全公司指出, Nulled.io运行在IP.Board论坛平台之上,而该平台单在今年一年就曝出185项安全漏洞,而且论坛还运行着一些不安全的软件。
数据下载链接:https://nulled.thecthulhu.com/
13、 MusilimMatch 穆斯林约会网站泄露数据

数据公开时间:2016-7-5
数据:
超过15万份个人资料近日遭到泄露,同时被泄漏的还有超70万条会员间的私人消息。遭到泄露的信息包括会员们的姓名、电邮地址、Skype账号和IP地址,还有他们的工作信息、住址、婚姻状况以及是否皈依伊斯兰教等。此外,还包括一些敏感信息,例如该会员是否会考虑一夫多妻制等。
数据窃取者:不明身份黑客
反应:信息泄露后,MusilimMatch网站主页上发布的一则消息中声明:“我们已经关注到了数据泄露情况,现正加强安全措施以弥补措施。”,目前,该网站一直处于停止服务状态。
数据下载链接:https://muslimmatch.thecthulhu.com/
14、 在线婚外情AshleyMadison 网站泄露数据

数据公开时间:2015-8-20
数据:
1.网站员工的账号数据、公司内部服务器地图、员工网络账户信息、公司银行账户信息和员工薪资信息。2.网站注册用户的详细资料信息。
数据窃取者:名为 Impact Team 的黑客团队
反应:2015年7月20日,网站负责人证实,其系统遭黑客入侵,黑客要求关闭该网站,否则将公布数百万用户的真实名字和个人偏好。AshleyMadison.com的母公司、位于多伦多的Avid Life Media Inc.(ALM)在一份声明中称:“我们为此次无缘无故遭受的黑客攻击向用户道歉。我们已经堵住了安全漏洞,关闭了未经授权的接入点。”。黑客声称公布这些信息的目的纯粹是为了揭穿ALM的谎言,ALM曾表示用户只需支付19美元就可以彻底删除在该网站的用户信息,但用户的购买记录,包括真实姓名和住址,并不会被删除。
数据下载链接:https://am.thecthulhu.com/

二、TheCthulhu其人
TheCthulhu未曾在网络中公开自己的真实身份, 他还有另一个化名:Thomas White,据现有资料显示,他是英国一个Tor 匿名服务开发管理人员,可能是22岁。他曾参与了一些与Tor安全服务有关的咨询活动,如暗网欺诈、执法行动和暗网交易等。他管理着一系列泄露数据库集网站,像AshleyMadison、Patreon等。( wikipedia)
 以下是他管理的Tor 网站和暗网:
https://tor.thecthulhu.com/
http://citizen47m7jfpad.onion/
http://3cpleimu2getp5q7.onion/
Keybase上的自我介绍:(keybase)密码爱好者,一生的冒险家,比特币梦想家和隐私保护者。我一直是(并将继续是)英国政府监控的目标。我的生活哲学很简单:自由是不自由的,除非它是完全自由的。
Twitter上的自我介绍:(https://twitter.com/CthulhuSec)技术和隐私活动家,匿名服务开发者,土耳其认定的恐怖份子,没有大便的激进者。虽然其在Twitter上声称住址为英国政府通信总部GCHQ-切尔滕纳姆,但据分析,这可能是对GCHQ的一种讽刺,因为在互联网上曾有  gchq.fuck.you.from.thecthulhu.com 、tor.exit.dear.gchq.fuck.you.from.thecthulhu.com 的DNS记录。
PS: Cthulhu(克苏鲁)是美国小说家霍华德·菲利普·洛夫克拉夫特所创造的克苏鲁神话中的一个邪恶存在。
三、总结

网络世界的攻防斗争每时每刻都在上演,数据泄露事件对国家安全、社会秩序、企业竞争力和个人生活都会产生巨大影响。大数据时代的今天,数据泄露事件将对个人和企业隐私保护提出挑战。对于企业和相关机构,应该不断提高安全防护水平,作为个人,应该加强信息安全意识。本文通过对 TheCthulhu 网站涉及的相关数据泄露事件进行分析梳理,未尽之处请读者包涵。
来自http://www.freebuf.com/news/topnews/109125.html