巴黎安全研究人員Benkow率先發現身份不明的黑客攻擊了荷蘭一臺開放訪問的服務器，該服務器的7.11億個電子郵件賬戶數據被泄。這是Have I Been Pwned(知名搜索數據庫)上收錄的迄今為止泄露的最大的數據量，之前的記錄是River City Media數據泄露，當時該事件曾造成的3.93億條電子郵件數據泄露。

泄露事件的過程及細節

垃圾郵件發送者可利用這些電子郵件憑證通過合法電子郵件服務器發送電郵繞過垃圾郵件過濾器，從而大規模傳播惡意軟件。

Benkow提醒Have I Been Pwned的安全專家特洛伊·亨特注意。亨特8月30日發表博文稱，Benkow向他解釋了如何定位到垃圾郵件程序“Onliner”使用的設備，并向他提供了IP地址路徑(位于荷蘭)查看以下目錄：

這個目錄包含兩類重要的數據：

電子郵箱：大量電子郵箱地址用于傳送垃圾郵件。

電子郵箱和密碼：Benkow解釋稱這些憑證可濫用郵箱所有者的SMTP服務器傳送垃圾郵件。Benkow認為其中許多憑證來自其它數據泄露事件。

亨特的電子郵箱也在泄露之列：

這里顯示亨特的國家代碼為英國，然而實際上并非如此，由此可見，郵件地址存疑。

含“NewFile_”前綴的其中一個文件包含超過4.3萬行電子郵箱地址與澳大利亞道路與海事服務廳(Roads and Maritime Services)有關：

每行均包含[email protected]，后面帶有“support@”，大部分域名為.com.au，但也有1.3萬個.ru(俄羅斯域名)域名。這些電子郵箱地址被用來發送與電子路橋費繳費器“E-Tag”相關的通知。亨特就曾收到此類垃圾郵件：

亨特認為，通過俄羅斯電子郵箱地址使用新南威爾士州道路收費系統的合法司機不會很多，很顯然，這些賬戶常量是自動生成的。亨特之前看到過類似的B2B USA Businesses垃圾郵件列表，有關評論如下：

垃圾郵件惡意程序“Onliner”瞄準7.11億電子郵件賬戶-E安全

這些數據中還包含一些很差的解析數據，例如以下數據，并且還出現了兩次：

Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk。

此外，有一個以數字命名的文件還包含120萬行如下數據：

垃圾郵件惡意程序“Onliner”瞄準7.11億電子郵件賬戶-E安全

亨特隨機選擇其中十幾個不同的電子郵箱地址發現，其中的地址屬于LinkedIn被泄的數據。

另外還有一個文件包含超過3000條電子郵箱、密碼、SMTP服務器和端口(25和587都是常見SMTP端口)記錄：

此外，有些文件中還包含相當混亂的數據，似乎文件名包含SQL:

這臺服務器似乎與惡意軟件Ursnif有關。亨特不止發現電子郵箱地址，還發現幾千個電子郵箱/密碼組合，以及SMTP服務器設置。

Benkow解釋稱，要發送垃圾郵件，攻擊者需要大量SMTP登錄憑證，攻擊者要么創建，要么就得購買，一般SMTP憑證收集完成，就可以注入垃圾郵件程序(Spambot)，而這個特殊的垃圾郵件程序被稱為“Onliner”，該程序至少自2016年開始活動。

8000萬SMPT登錄憑證有效

Onliner使用荷蘭這臺開放的服務器將Ursnif惡意軟件傳送至全球的電子郵箱。Ursnif因竊取大量軟件和瀏覽器的數據而臭名昭著，尤其銀行業面臨的攻擊風險最大。Onliner獲取了7.11億個SMPT登錄憑證，包括電子郵箱地址、密碼和電子郵件服務器，其中8000萬個憑證仍有效，并用來攻擊余下的6.31億個賬號，以繞過反垃圾郵件軟件。

據稱，存在問題的電子郵箱包含肉眼無法看見的1x1像素的GIF圖片。

Benkow警告稱，當用戶打開垃圾郵件時，用戶的IP地址和用戶代理請求會被發送至托管GIF圖片的服務器。垃圾郵件發送者需了解三件事：首先是用戶已經打開了電子郵件，其次，用戶在哪里打開的電子郵件，以及用戶在哪臺設備上打開了電子郵件。攻擊者還會收到電子郵箱地址有效的確認信息。

你的電子郵件賬號信息泄露了嗎?

這起泄露事件中的數據量“令人難以置信”，Have I Been Pwned現在已經將這些電子郵箱納入搜索數據庫，用戶可查看自己的賬號是否在數據泄露事件中被泄，查詢入口請戳!