现在很难找到一个好的罪犯。我的意思是,一个真正值得您信赖的人不会以数据泄露的虚假承诺引导您走上花园小路。就像昨天这个人一样:
对于我的国际朋友来说,JB Hi-Fi 是澳大利亚一家大型电子零售商,他们有我的数据!我的意思是故意的,因为我从他们那里买了很多东西,所以我不仅对自己的数据感到好奇,而且因为在一个不超过两倍的国家,超过 1200 万人的数据泄露将是巨大的。于是,我给那个人发了一条消息,问他是否愿意通过分享我自己的记录来帮助我核实这一事件。在我对这起事件有一定程度的信心之前,我不想发表任何关于此事件的公开评论,而不是考虑到它可能对我自己的后院产生多大的影响。
现在,我通常不会与另一方分享私人对话,但当有人开始诈骗时,就我而言,这条规则就被抛之脑后了。所以这就是谈话变得有趣的地方:
他给我保证了!听起来合法。但是,嘿,每个人都会从怀疑中受益,除非事实证明并非如此,所以我开始查看数据。结果我自己的信息并不完整,但他很乐意提供几千条 14 列的样本记录:
- 客户_id_
- 名
- 姓
- 全名
- 性别
- 电子邮件地址_
- 移动国家/地区
- 手机号码_
- 多布
- 邮政_街道_1_
- 状态_
- 邮政编码_
- 城市_
- 帐户状态
非常标准的东西,可能是合法的,让我们检查一下。当出现新的涉嫌违规行为时,我有一个针对HIBP API运行的 Powershell 脚本,我想真正了解它的独特性。它只是循环遍历文件中的所有电子邮件地址,检查它们遇到过哪些漏洞,并跟踪以前发现的百分比。一次独特的泄露将包含大约 40% 到 80% 以前见过的地址,但这次泄露的地址更多:
发现趋势?每个地址都有一个共同的漏洞。嗯……想知道那家伙对此有何评论?
但他在服务器里!他从 Shopify 的仪表板上抓取了它!必须是合法的,除非…如果我将其与Dymocks 的实际完全违规进行比较呢?那是一家当地的澳大利亚书商(因此其中会有很多看似澳大利亚的电子邮件地址,就像 JB Hi-Fi 一样),他们的违规行为可以追溯到 2023 年中期。我手头备有这样的违规行为,以应对这种情况,让我们比较一下两者:
哇!有什么机会?!当他听到这个事情的时候,一定会非常感兴趣!
就是这样。聊天陷入沉默,不久之后,列表就消失了:
看起来这个家伙也已经被从他试图进行骗局的论坛中删除了,所以是的,这个骗局对他来说效果并不好。那 16,000 美元也太美味了!
我写这篇短文是为了强调验证数据泄露索赔的重要性。显然,我见过很多合法的,但我也见过很多垃圾。通常情况下,联系我的一方对自己的功绩做出明显虚假的声明,这种情况并不常见,但经常是那些从另一方获得某些东西并重复他们被告知的谎言的人。此示例还强调了以前泄露的数据的有用性,即使在电子邮件地址已被提取并加载到 HIBP 中之后也是如此。数据经常被回收并作为新事物传播,这只是教科书上利用先前事件来反驳新主张的完美案例。另外,在诈骗犯罪分子的指控中找出漏洞也很有趣😊
原文: https://www.troyhunt.com/you-cant-trust-hackers-and-other-data-breach-verification-tales/