想知道你的郵箱或個人隱私信息正面臨被黑威脅嗎？想知道你的企業(yè)網(wǎng)站被黑了嗎？想知道最近發(fā)生什么大規(guī)模數(shù)據(jù)泄露事件嗎？試試LeakedSource吧，一個被稱為“數(shù)據(jù)泄露領(lǐng)域的Google搜索引擎”。2016年，在很多大規(guī)模databreach發(fā)生后，LeakedSource總會登上新聞頭條，如它對Myspace、Linkedin和FriendFinder的分析。

在LeakedSource，你可以通過注冊成為普通用戶，根據(jù)用戶名、郵箱、IP地址、姓名、電話進行泄露信息源查詢。不過如果要查看具體的泄露數(shù)據(jù)，就得購買查詢服務(wù)，費用從1天/4美金到1年/320美金不等。企業(yè)用戶的長期合作還需直接與LeakedSource管理者聯(lián)系。今天就讓我們隨著Freebuf來了解一下LeakedSource。

LeakedSource提供的服務(wù)

如今的互聯(lián)網(wǎng)時代，對個人、第三方網(wǎng)站和企業(yè)來說，數(shù)據(jù)永遠是最寶貴的信息，然而，每天都在發(fā)生的黑客攻擊和數(shù)據(jù)泄露事件嚴重程度遠遠超過人們的想像。還記得手機服務(wù)網(wǎng)站FourSquare被黑事件嗎？Adobe呢？這些即便是當時備受關(guān)注的數(shù)據(jù)泄露事件，也會逐漸被更嚴重、更讓人瞠目結(jié)舌的事件所湮滅（如最近的雅虎事件）。數(shù)據(jù)泄露沒有最嚴重，只有更嚴重。作為個人和企業(yè)用戶來說，如何知曉自身數(shù)據(jù)是否和如何泄露，已成當務(wù)之急。LeakedSource就提供了這樣的服務(wù)：

1.普通注冊用戶，免費查詢個人或其它（他人）相關(guān)信息是否處于數(shù)據(jù)泄露狀態(tài)和泄露源；

2.普通注冊用戶，提交電子郵箱地址，獲取免費數(shù)據(jù)泄露提醒服務(wù)；

3.普通注冊用戶，購買泄露信息付費查看服務(wù)；

4.企業(yè)定制用戶，購買企業(yè)API接口付費提醒服務(wù)，供企業(yè)實時了解自身數(shù)據(jù)安全和數(shù)據(jù)泄露狀況。

企業(yè)定制API接口服務(wù)價格：

企業(yè)定制API接口服務(wù)模式：

LeakedSource的成立發(fā)展

2015年底的最后幾天，LeakedSource團隊掌握并計劃公布多達1億被黑且尚未公開的“中國大型網(wǎng)站”泄露數(shù)據(jù)，而僅僅經(jīng)過一年，LeakedSource積累的泄露數(shù)據(jù)就將近30億，在未來的2017年初，LeakedSource還將計劃通過其數(shù)據(jù)引擎公布20到30家被黑網(wǎng)站多達1.05億條記錄。

LeakedSource的成立目的在于，盡可能多的提醒普通互聯(lián)網(wǎng)用戶其泄露的個人信息正面臨安全風險，與此同時，對那些被黑的第三方網(wǎng)站形成壓力，迫使其承認黑客攻擊事件，對用戶負責–盡管這種過程和效應(yīng)非常緩慢，不太明顯。

LeakedSource積累的泄露數(shù)據(jù)庫能讓用戶和組織了解其自身賬戶信息是否正處于被黑狀態(tài)，或哪些信息已完全被公開泄露。最基本的一點是，至少能幫助提醒用戶哪些密碼需要修改。

基于如今交叉互聯(lián)的應(yīng)用服務(wù)，一些注冊的或不明確的個人信息，一不小心就被不法份子收集利用，LeakedSource也提供這類關(guān)聯(lián)信息服務(wù)，例如，發(fā)現(xiàn)某些泄露數(shù)據(jù)與個人電話或姓名相關(guān)，那么，用戶也就非常清楚信息泄露到底出在哪個環(huán)節(jié)，需要采取必要的個人信息控制措施。

LeakedSource發(fā)言人強調(diào)，“毫無疑問，大部份發(fā)生數(shù)據(jù)泄露的公司，都不愿花時間和資源重視數(shù)據(jù)庫安全，而當事件之后，又不愿及時通知用戶，雖然普通用戶在數(shù)據(jù)泄露事件中處于受害者地位，但卻不知道自己的受影響程度，非常扯淡。所以這就是LeakedSource的成立初衷”。

LeakedSource的運營模式和數(shù)據(jù)來源

LeakedSource一直在秘密地點托管運行，而其網(wǎng)站運營團隊，也由來自不同國家的數(shù)位匿名網(wǎng)絡(luò)成員組成。他們聲稱，“簡單來說，只要沒人知道我們的身份和網(wǎng)站托管地，就能免受一些不必要的網(wǎng)絡(luò)攻擊”。而另外，還有一些具備各種技能的貢獻者(Contributor)義務(wù)幫助網(wǎng)站進行運營管理、數(shù)據(jù)庫管理和數(shù)據(jù)分析工作。LeakedSource的一位發(fā)言人曾在某單獨采訪中提及，網(wǎng)站團隊的某些成員有著其他收入來源，有的甚至還是在校學生。

LeakedSource今年最大的“寶藏”是獲取了3.6億多個MySpace早期賬戶，和3.39億多條AdultFriendFinder被黑事件影響用戶信息。與微軟安全專家 Troy Hunt創(chuàng)建的HaveiBeenpwned相比，LeakedSource數(shù)據(jù)更全面、更隱秘。LeakedSource目前將近有30億各類泄露數(shù)據(jù)，其中包括中國國內(nèi)泄露的天涯網(wǎng)、CSDN等網(wǎng)站數(shù)據(jù)。

在12月19號的FAQ里，LeakedSource團隊解釋道：“雖然在早期出于興趣愛好而建立了該項目，但現(xiàn)在它已經(jīng)成長為非常重要的公共服務(wù)，通過這個平臺，我們堅信可以讓公眾了解目前糟糕的網(wǎng)絡(luò)安全狀況；同時，我們通過告知媒體，促使發(fā)生數(shù)據(jù)泄露的公司提醒他們的注冊用戶，而不是悄悄將事情掩蓋”。

另外，重要的是，LeakedSource強調(diào)，他們只公布那些被曝光的數(shù)據(jù)泄露事件，不對尚未披露或其它渠道掌握的數(shù)據(jù)進行公布。據(jù)其一位發(fā)言人表示，LeakedSource未設(shè)置有償數(shù)據(jù)提交功能，LeakedSource數(shù)據(jù)庫中有將近20多億條記錄來自谷歌搜索，他們僅只是把這些數(shù)據(jù)進行了整合歸納，而其它不能從主流網(wǎng)站獲取的數(shù)據(jù)則來自”地下黑客組織團體“。另據(jù)LeakedSource負責人聲稱，在網(wǎng)站服務(wù)運行的1年多以來，他們還從未與任何執(zhí)法法部門發(fā)生過任何形式的聯(lián)系或合作。

LeakedSource提供的服務(wù)和其引發(fā)的爭議

LeakedSource的商業(yè)模式并非毫無爭議。因為它不僅涉及數(shù)據(jù)庫維護，有時還需對黑客攻擊事件泄露的用戶密碼和其它數(shù)據(jù)進行解密。從某種意義上講，因為能搜索到具體數(shù)據(jù)和經(jīng)過解密的密碼明文，這讓LeakedSource的服務(wù)對公司和用戶來說更為有用。LeakedSource聲稱，“滿足用戶好奇心是一種必然的發(fā)展趨勢。比如說，如果你不滿足于我們告訴你你的用戶名從MySpace泄露了，那么你只需支付幾美元，我們就會告訴具體你是哪個用戶名或哪個郵箱被泄露了”。

當然，這種查詢功能也同樣適用于查詢其他人的泄露信息，可以通過查詢出來的密碼信息對其他人的賬號進行登錄嘗試，可以通過查詢出來的其他個人相關(guān)信息，實施進一步的社會工程攻擊。在這種情況下，LeakedSource也確實為那些潛在的攻擊者創(chuàng)造了他人敏感信息的公開獲取渠道。在一些安全社區(qū)甚至有人認為，LeakedSource是在從泄露數(shù)據(jù)事件中獲利，這種提供泄露數(shù)據(jù)查詢的做法可能會引發(fā)其它更糟糕的信息安全問題。

Casaba安全首席科學家John Michener也表示：“LeakedSource基本上就是從泄露數(shù)據(jù)中獲利，我認為他們提供的服務(wù)就是幫助和煽動犯罪。人們知道泄露數(shù)據(jù)是非常有價值的，所以，如果LeakedSource真的是從公眾利益出發(fā)的話，他們可以只發(fā)送郵件給被泄賬戶說‘嘿，我們發(fā)現(xiàn)你的信息已經(jīng)被泄露了。’”

而LeakedSource發(fā)言人稱，由于他們提供的服務(wù)運營“成本已經(jīng)超出了大多數(shù)正常工作的薪水，因此，必須要尋找某種形式的盈利模式，否則網(wǎng)站就有可能維持不了”。

另外，由于網(wǎng)站不透明的運營模式，同樣引發(fā)了一些關(guān)于可信度的質(zhì)疑。 Binary Defense Systems公司的技術(shù)負責人Jared DeMott說，“其實還有些別的類似服務(wù)比LeakedSource更有可信度，因為你可以清楚地知道其運營和盈利模式。而像LeakedSource，我甚至都不會在上面提交郵箱地址，因為我不清楚到底誰在運營這個網(wǎng)站，他們又會如何來利用這些數(shù)據(jù)。而LeakedSource匿名運營的原因，可能是他們清楚地知道他們掌握的數(shù)據(jù)，盡管有巨大的需求和市場，但仍處于非常灰色的道德和法律地帶。”

而LeakedSource堅稱，“無論如何”都決不會售賣人們在其網(wǎng)上進行搜索查詢的數(shù)據(jù)記錄。LeakedSource向用戶表示“不同于免費網(wǎng)站，我們不會用你們的信息來賺錢，你們不是商品”，同時LeakedSource還強調(diào)，其網(wǎng)站服務(wù)的出發(fā)點和動機不帶任何政治目的。用其發(fā)言人的話來說，“在如今這個年頭，摻雜了政治企圖的事傷人傷已，不利健康。如果有人想向LeakedSource泄露敏感數(shù)據(jù)，比如政府信息，我們會向這些潛在泄密者推薦更適合的泄密網(wǎng)站，如維基解密。”

意義所在

盡管存在爭議，但LeakedSource不乏支持者。LeakedSource聲稱，他們過去曾與媒體記者聯(lián)合揭露數(shù)據(jù)泄露事件，在掌握了相關(guān)數(shù)據(jù)之后，他們自己不會去主動揭發(fā)映證或?qū)で笃渌问降姆?wù)，甚至他們在網(wǎng)站上還為英國WEB安全公司Netsparker鏈接展示一個免費廣告。Netsparker銷售經(jīng)理表示，“其實我們也不知道他們是誰，但如果不違法，保持匿名是他們的權(quán)利，只要他們持續(xù)為安全社區(qū)提供良好服務(wù)，普及和提升民眾安全意識，我們都支持他們”。

LeakedSource不僅是針對大型數(shù)據(jù)泄露事件的信息提供服務(wù)，它的存在可能還會產(chǎn)生一種安全推動，促使更多的安全產(chǎn)品出現(xiàn)以幫助用戶了解、掌握和保護個人隱私信息安全。而最近雅虎10億用戶信息泄露案例，就是大規(guī)模數(shù)據(jù)泄露事件的最好證明。

如果沒有像LeakedSource這樣的類似服務(wù)，我們也許將難以理解其存在的價值意義。