看到富有创造力的人如何处理泄露的数据,真是令人着迷。当然,还有所有令人讨厌的东西(网络钓鱼、身份盗用、垃圾邮件),但也有一些从他人系统非法获取的数据的惊人积极用途。当我第一次构建Have I Been Pwned (HIBP) 时,我的口头禅是“坏事发生后做好事”。可以说,它主要是通过使个人和组织能够了解他们自己在违规中的个人风险。然而,用例远不止于此,在亲耳听到它之后,我一直想写一个用例。现在,让我们将这种方法称为“Pwned or Bot”,我将在另一个问题的背景下设置场景:狙击。
将 Miley Cyrus 想象成 Hannah Montana(请耐心等待,我真的要去某个地方了!)表演人们会买票的表演。我们谈论的是当天的大量门票,她的受欢迎程度超出了图表,供不应求。对于有进取心但声誉不佳的人来说,这提供了一个机会:
Ticketmaster 是这次巡演的独家售票员,几分钟内就将多场演出售罄,让许多汉娜·蒙塔娜 (Hannah Montana) 的粉丝望而却步。然而,通常在演出开始销售后不久,二级市场就会因这些演出的门票而繁荣起来。这些票面价值从 21 美元到 66 美元不等,在 StubHub 上以平均 258 美元的价格转售,外加 StubHub 的 25% 佣金(10% 由买方支付,15% 由卖方支付)。
这被称为“狙击”,即个人插队抢购需求有限的产品以谋取个人利益,从而损害他人利益。娱乐活动的门票就是狙击的一个例子,当其他产品推出时供不应求时也会发生同样的事情,例如耐克鞋。这些可能会广受欢迎,并且与本博客的课程一样,供不应求。这为狙击手创造了一个市场,其中一些人通过视频分享他们的手艺,比如这个:
“BOTTER BOY NOVA”在视频中称自己为“Sneaker botter”,并展示了一款名为“Better Nike Bot”(BnB)的工具,售价 200 美元外加每 6 个月 60 美元的续订费。不过别担心,他有折扣码!似乎黑客并不是唯一从他人的不幸中赚钱的人。
看一下视频,看看他在 4:20 时谈到使用代理“防止 Nike 标记您的帐户”时的情况。他建议使用与您的帐户数量相同的代理,以避免 Nike 的(自动)怀疑多次注册单个 IP 地址的异常情况。代理本身是商业企业,但别担心,BOTTER BOY NOVA 也有他们的折扣码!
该视频继续演示如何配置该工具以最终通过购买鞋子的尝试来冲击 Nike 的服务,但在 8:40 标记处,我们到达了我要处理的地方的症结所在:
他使用该工具创建了一大堆帐户,试图最大限度地提高成功购买的机会。这些显然只是上面屏幕截图中的示例,但不可避免地,他通常会去注册一堆他可以专门用于此目的的新电子邮件地址。
现在,从 Nike 的角度考虑一下:他们推出了一款新鞋,并且看到了一大堆新的注册和购买尝试。在那群人中有很多真正的人……还有这个人 ? 他们怎么能把他淘汰掉,这样狙击手就不会以牺牲真正的顾客为代价来抢购产品?请记住,像这样的工具是专门为避免检测而设计的(还记得代理吗?),可靠地将人类与机器人分开是一项艰巨的挑战。但是有一个指标很容易交叉检查,那就是在以前的数据泄露中出现过电子邮件地址。让我用简单的术语来表达它:
我们都被如此全面地伪造了,如果一个电子邮件地址没有被伪造,那么它很可能不属于一个真人。
因此,“Pwned or Bot”,这正是组织一直在使用 HIBP 数据的方法。有警告:
如果一个电子邮件地址以前没有在数据泄露中出现过,它可能是一个新创建的地址,特别是为了玩弄你的系统。它也可能是合法的,并且所有者很幸运没有被伪造,或者可能是他们唯一地对他们的电子邮件地址进行了子地址处理( 尽管这种情况极为罕见),或者甚至使用了屏蔽电子邮件地址服务,例如1Password 通过 Fastmail 提供。 HIBP中没有电子邮件地址并不是可能存在欺诈的证据,这只是一种可能的解释。
但是,如果以前曾在数据泄露事件中看到过某个电子邮件地址,我们可以高度自信地说它在泄露事件发生时确实存在。例如,如果它是在 2012 年的 LinkedIn 漏洞中,那么您可以非常有信心地得出结论,该地址不仅仅是为了玩弄您的系统而设置的。违规行为建立了历史,尽管它们是其中的一部分令人不快,但它们确实以这种身份发挥了有用的作用。
不要将违规历史视为指示电子邮件地址合法性的二元命题,而是将其视为评估风险并将“pwned or bot”视为众多因素之一。我能给出的最好例证是 Stripe 如何通过评估多种欺诈因素来定义风险。以最近支付的 HIBP 的 API 密钥为例:
这里发生了很多事情,我不会一一列举,最主要的是,在从 0 到 100 的风险评估等级量表中,该特定交易的评分为 77,这使其处于“最高风险”括号。为什么?让我们只挑几个明显的原因:
- 该 IP 地址之前曾发出过早期欺诈警告
- 这封电子邮件以前在 Stripe 上只出现过一次,那是在 3 分钟前
- 客户姓名与他们的电子邮件地址不匹配
- 来自该 IP 地址的交易中只有 76% 之前已获得授权
- 客户的设备之前关联了另外 2 张卡
这些欺诈因素中的任何一个都可能不足以阻止交易,但所有这些因素加在一起让整个事情看起来很可疑。正如这个风险因素也让它看起来可疑:
使用HIBP API将“Pwned or Bot”应用于您自己的风险评估非常简单,希望这种方法将帮助更多人准确地完成 HIBP 的首要任务:帮助“在坏事发生后做好事” .