在LeakedSource突然關(guān)停之際，安全專家Brian Krebs利用蛛絲馬跡的線索，通過層層抽絲剝繭，順藤摸瓜，最終確定了LeakedSource幕后運(yùn)營(yíng)者的大致身份。拋開LeakedSource的合法性不談，該文對(duì)特定網(wǎng)絡(luò)身份輪廓的剖繪值得參考研究。

LeakedSource突然下線

作為一個(gè)神秘和強(qiáng)大的社工庫(kù)網(wǎng)站，上個(gè)月底，LeakedSource在沒有發(fā)布任何消息的情況下，就突然下線無(wú)法訪問了。據(jù)多家媒體消息，原因是美國(guó)相關(guān)執(zhí)法部門對(duì)LeakedSource網(wǎng)站和相關(guān)運(yùn)營(yíng)者開展了調(diào)查，并沒收了其服務(wù)器。而在黑客論壇OGF中，有用戶發(fā)貼聲稱：“LeakedSource將不復(fù)存在，雖然目前網(wǎng)站相關(guān)運(yùn)營(yíng)者還沒有被逮捕，但是他們的服務(wù)器和數(shù)據(jù)都被聯(lián)邦政府沒收了。”

據(jù)傳比較諷刺的是，LeakedSource網(wǎng)站幕后運(yùn)營(yíng)者的真實(shí)身份，竟是被其自己兜售的數(shù)據(jù)庫(kù)暴露了。而在LeakedSource成立初期，其網(wǎng)站服務(wù)器物理位置和運(yùn)營(yíng)者身份都非常隱秘，無(wú)跡可尋。

LeakedSource運(yùn)營(yíng)模式

自2015年10月，LeakedSource就開始成立網(wǎng)站，出售一些嚴(yán)重?cái)?shù)據(jù)泄露事件中涉及的賬戶密碼信息，在其網(wǎng)站搜索欄輸入任何一個(gè)電子郵箱地址之后，都會(huì)提示是否有該郵箱對(duì)應(yīng)的密碼泄露信息。當(dāng)然，用戶得付費(fèi)查看具體的密碼信息。

LeakedSource是一個(gè)可以滿足很多人好奇心的網(wǎng)站，尤其是對(duì)那些調(diào)查數(shù)據(jù)泄漏事件的新聞?dòng)浾摺Ｆ渌鼣?shù)據(jù)泄露服務(wù)網(wǎng)站，如BreachAlarm和HavelBeenPwned.com，如果用戶查出某個(gè)賬戶或郵箱存在密碼泄露，在查看這些密碼信息之前，會(huì)強(qiáng)制要求用戶對(duì)相關(guān)賬戶的合法身份進(jìn)行驗(yàn)證，而LeakedSource對(duì)此卻不需要任何形式的身份驗(yàn)證。因此，很多人指責(zé)LeakedSource運(yùn)營(yíng)者完全出于利益目的，而不對(duì)賬戶泄露者的隱私和安全考慮。

調(diào)查L(zhǎng)eakedSource幕后運(yùn)營(yíng)者

初現(xiàn)端倪“Xerx3s”

出于對(duì)LeakedSource的神秘和探究沖動(dòng)，我對(duì)其一直比較感興趣。之前我從多方渠道獲悉，LeakedSource的其中一名管理員，也是在線論壇abusewith[.]us管理員。abusewith成立于2013年9月，專門提供郵箱和在線游戲賬號(hào)破解業(yè)務(wù)，論壇成立初期以教學(xué)虛擬角色扮演游戲Runescape的賬號(hào)破解而出名。

據(jù)abusewith[.]us論壇顯示，其管理員昵稱為”Xerx3s”，從其頭像信息可知，昵稱”Xerx3s”取自波斯國(guó)王薛西斯大帝（Xerxes the Great）。Xerx3s似乎比較擅長(zhǎng)破解論壇和Runescape等在線游戲賬號(hào)，同時(shí)，他還是游戲Runescape的主要金幣賣家之一，經(jīng)常以大折扣向其它玩家出售Runescape游戲金幣，而這些金幣很可能是通過竊取其他游戲賬號(hào)得來(lái)的。

　　初步試探[email protected]

2016年7月，我打算對(duì)LeakedSource網(wǎng)站的幕后運(yùn)營(yíng)者進(jìn)行調(diào)查。一開始我嘗試與其網(wǎng)站提供的郵箱[email protected]進(jìn)行聯(lián)系，提出采訪要求，之后，我就很意外地收到了來(lái)自郵箱[email protected]的匿名Jabber（一種linux實(shí)時(shí)聊天器）聊天邀請(qǐng)。（后續(xù)相關(guān)的聊天記錄）

我想通過這些片面的采訪，了解LeakedSource幕后運(yùn)營(yíng)者是如何看待他們所做的這一切。另外，也想進(jìn)一步確定abusewith[.]us管理員Xerx3s是否和LeakedSource有關(guān)。

帶著這些目的和種種問題，最終，在與[email protected]賬戶的交流中，他提到：“2015年，在發(fā)生了多起嚴(yán)重?cái)?shù)據(jù)泄漏事件后， 我們注意到了當(dāng)時(shí)的公眾需求趨勢(shì)，即大家都想知道自己的賬戶是否受到影響，而當(dāng)時(shí)又沒有可供查詢的特殊渠道。所以，LeakedSource就因這樣的需求應(yīng)運(yùn)而生了，而非出于其它目的。抱歉，由于你的采訪帶有一些隱晦的政治意味，所以，我們打算終止采訪。”，由此可見，LeakedSource幕后運(yùn)營(yíng)者對(duì)于網(wǎng)站的運(yùn)營(yíng)目的相當(dāng)謹(jǐn)慎，對(duì)于提供數(shù)據(jù)泄露服務(wù)之外的話題幾乎避而不談。

就在這次談話過后兩周，一個(gè)經(jīng)常關(guān)注網(wǎng)絡(luò)犯罪地下組織的消息線人告訴我，他最近與Xerx3s聊過，Xerx3s在聊天中向他透露了我之前與[email protected]賬戶的對(duì)話內(nèi)容，我的消息線人還告訴我，Xerx3s使用的聊天賬戶[email protected]，是在創(chuàng)立LeakedSource之前就一直在用的。

而這也說(shuō)明，Xerx3s可能就是那個(gè)與我聊天的LeakedSource聯(lián)系人（[email protected]），或者是那個(gè)LeakedSource聯(lián)系人將我們之間的對(duì)話內(nèi)容透露給了Xerx3s。

深挖線索

雖然他在論壇abusewith[.]us的使用昵稱為Xerx3s，而且很多跟他在論壇上比較熟絡(luò)的成員都稱他化名”Wade”或”Jeremy Wade”。

化名”Jeremy Wade”的身份所使用的其中一個(gè)郵件地址為[email protected]，根據(jù)WHOIS查詢記錄顯示，這個(gè)郵箱與注冊(cè)于2015年的兩個(gè)域名有關(guān)聯(lián)：abusing[.]rs和cyberpay[.]info，而且在這兩個(gè)域名注冊(cè)記錄中都出現(xiàn)了“Secure Gaming LLC”公司名稱。

“Jeremy Wade”的相關(guān)信息曾在多個(gè)數(shù)據(jù)曝光網(wǎng)站公布的被黑數(shù)據(jù)庫(kù)中出現(xiàn)過，甚至連abusewith[.]us和LeakedSource自己還發(fā)布過這些被黑數(shù)據(jù)庫(kù)。例如在DDoS攻擊服務(wù)網(wǎng)站panic-stresser[dot]xyz的泄露數(shù)據(jù)中，其中一個(gè)PayPal賬戶（[email protected]）利用名字jeremywade在該網(wǎng)站進(jìn)行過5美金的交易，而泄漏的數(shù)據(jù)庫(kù)也表明，與Jeremywade賬號(hào)綁定的郵箱為2012年7月創(chuàng)建的[email protected]，該賬號(hào)首次登錄使用的IP為美國(guó)密歇根州的動(dòng)態(tài)地址68.41.238.208。

我根據(jù)大量的論壇發(fā)帖信息發(fā)現(xiàn)，郵箱[email protected]的所有者還創(chuàng)建了其它很多郵箱地址，包括[email protected]、[email protected]、[email protected]和[email protected]等。

[email protected]曾在2011年注冊(cè)了至少四個(gè)域名，其中兩個(gè)為daily-streaming.com和tiny-chats.com，這兩個(gè)域名的注冊(cè)信息顯示，域名擁有者名稱為Nick Davros，地址為密歇根州Muskegon市Dunes大道3757號(hào)；而另外兩個(gè)域名的擁有者為Alex Davros，地址同樣為Muskegon市，而且這四個(gè)域名使用的注冊(cè)電話都是231-343-0295。另外兩個(gè)注冊(cè)域名為m-forum.us和tinychat.com.co。

我利用IP 68.41.238.208和郵箱[email protected]進(jìn)行網(wǎng)絡(luò)關(guān)聯(lián)查詢，又在另外一個(gè)網(wǎng)站sinister[dot]ly泄露數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了其身影，在該泄露數(shù)據(jù)中顯示，名為”Jwade”的賬戶通過郵箱[email protected]注冊(cè)，并以同樣的IP 68.41.238.208執(zhí)行了首次登錄。

之后，我通過一家提供IP和域名追蹤的安全公司Farsight Security發(fā)現(xiàn)，在2012至2014年之前，IP 68.41.238.208地址隸屬著名動(dòng)態(tài)域名服務(wù)商no-ip.biz所有。使用者利用no-ip.biz和其它動(dòng)態(tài)IP服務(wù)，能方便地部署網(wǎng)站并修改域名。另?yè)?jù)Farsight Security提供的報(bào)告顯示，IP 68.41.238.208曾托管過3個(gè)域名，包括“jwade69.no-ip.biz” “wadewon.no-ip.biz”和“jrat6969.zapto.org”。其中第一個(gè)域名jwade69.no-ip.biz曾出現(xiàn)在FBI對(duì)”黑影（Blackshades)”黑客組織的通緝域名中。

意外發(fā)現(xiàn)：XERX3S被黑了嗎？

去年9月中旬，我曾收到過一條匿名黑客信息，該黑客聲稱他已經(jīng)入侵了我前面提及的與Xerx3s相關(guān)的郵箱[email protected]，他并沒有告訴我對(duì)該郵箱的入侵方法，但是通過Xerx3s相關(guān)的多個(gè)泄漏數(shù)據(jù)庫(kù)顯示，Xerx3s的多個(gè)郵箱賬號(hào)使用了相同的密碼。

Xerx3s名叫Alex Davros

該匿名黑客向我提供了多幅入侵登錄郵箱[email protected]的截圖，從截圖信息可以看出郵箱賬戶名稱為“Alex Davros”，另外，還可以發(fā)現(xiàn)，2015年短期內(nèi)，該郵箱賬戶在從Leakedsource.com收到了數(shù)千美金的Paypal打款。

截圖信息還透露了郵箱[email protected]綁定的Paypal賬戶卻為Secured Gaming LLC的公司名稱所有，該名稱出現(xiàn)在前述分析的兩個(gè)域名abusing[dot]rs和cyberpay[dot]info注冊(cè)信息中。

另外，通過該匿名黑客提供的其它截圖，我還發(fā)現(xiàn)與[email protected]綁定的Paypal賬戶會(huì)每月定期向DDoS防護(hù)服務(wù)商Hyperfliter.com打款，而Hyperfliter.com正是abusewith[dot]us的長(zhǎng)期網(wǎng)站托管和DDoS安全防護(hù)服務(wù)提供商。

Alex Davros的配偶Parker女士

除此之外，這位匿名黑客向我透露，他還成功入侵了“Alex Davros”配偶的郵箱[email protected]，該郵箱屬于密歇根一位名叫Desi Parker的女士所有，郵箱綁定了Apple iTunes和Instagram賬戶并通過萬(wàn)事達(dá)后四位為7055的信用卡進(jìn)行日常消費(fèi)，住址可能為密歇根州馬斯基根市海勒大道868號(hào)。

Parker女士的Instagram賬號(hào)中把Alex Davros稱為“配偶”，并標(biāo)記了其電話號(hào)碼231-343-0295，前述分析中提到，該電話號(hào)碼是域名daily-streaming.com和tiny-chats.com的注冊(cè)聯(lián)系號(hào)碼，但是該號(hào)碼目前已經(jīng)停機(jī)。

另外，從Parker女士的Facebook中得知，她正與名為Alexander Marcus Davros的男子熱戀，而Alex Davros的Facebook賬戶信息卻非常有限，只在其名字欄下方“關(guān)于Alexander”的地方填寫內(nèi)容為“TheKing”。而Parker的Instagram賬戶信息中則包含了一幅手繪的王冠圖像。（Alex Davros的Facebook賬戶目前已經(jīng)不能訪問）

而且，另外據(jù)我發(fā)現(xiàn)，兩個(gè)與Jeremy Wade注冊(cè)域名相關(guān)的郵箱地址[email protected]和[email protected]，在它們所綁定的Facebook賬戶中，都把Alex Davros標(biāo)記為朋友關(guān)系。

順藤摸瓜：梳理關(guān)系線索

以下就是我根據(jù)所有線索列出的一些詳細(xì)關(guān)系圖，根據(jù)最終推斷，Xerx3s應(yīng)該就是LeakedSource管理員。（點(diǎn)此查看原版大圖）

　　求證：聯(lián)系A(chǔ)lex Davros

我想嘗試通過Twitter聯(lián)系A(chǔ)lex Davros進(jìn)行私聊，在發(fā)出信息之后的一分鐘，他就關(guān)注我了，并要求我刪除和他求關(guān)注的公開發(fā)帖。之后，他禮貌地向我作出回應(yīng)：”哇，我很驚訝，但是可以真誠(chéng)地告訴你，我不是LeakedSource的管理員。”，在我向他出示一些關(guān)聯(lián)線索之后，他承認(rèn)他就是Xerx3s，但與LeakedSource無(wú)關(guān)。他是這樣回復(fù)我的：”I am xer yes but LS no”，之后，他就以有事為由拒絕回復(fù)我其它問題。

即使真像Davros說(shuō)的，他并不是LeakedSource管理員，但所有的線索和關(guān)聯(lián)信息足以證明，他和LeakedSource網(wǎng)站的運(yùn)營(yíng)有著非常緊密的關(guān)系。

LeakedSource的合法性探討

表面上，LeakedSource網(wǎng)站運(yùn)營(yíng)者給出的理由和解釋似乎合理：他們僅是把泄露在互聯(lián)網(wǎng)上或通過其它匿名渠道曝光的數(shù)據(jù)進(jìn)行整合，以此為公眾提供服務(wù)。但就我采訪的一些法律專家則認(rèn)為，如果公訴人有證據(jù)證明某人利用LeakedSource出售的密碼和其它相關(guān)信息來(lái)實(shí)施犯罪的話，那么LeakedSource運(yùn)營(yíng)者將面臨刑事指控。

華盛頓大學(xué)的網(wǎng)絡(luò)安全法項(xiàng)目主任Orin Kerr表明，根據(jù)計(jì)算機(jī)欺詐與濫用法（CFAA），販賣他人密碼的行為明顯違法。CFAA第6節(jié)對(duì)密碼販賣行為有著特定說(shuō)明：故意或蓄意販賣通過未授權(quán)訪問電腦獲取的密碼和相關(guān)信息是違法的。

紐約大學(xué)法學(xué)院法律與安全中心高級(jí)研究員Judith Germano則認(rèn)為，不排除LeakedSource幕后運(yùn)營(yíng)者很可能通過這種表面合法的掩飾，而出于其它目的，收集一些特定賬號(hào)密碼信息。

綜合法律專家的觀點(diǎn)來(lái)看，由于LeakedSource利用被竊數(shù)據(jù)，出于經(jīng)濟(jì)利益向公眾提供了付費(fèi)的泄露密碼查詢服務(wù)，這種做法已經(jīng)觸犯法律。