黑16家网站、盗6.2亿账户数据，暗网打包2万刀搞定

据暗网的数据卖家称，从今天起，从16个被黑客入侵的网站上窃取的约6.17亿在线账户信息将在暗网上出售。据悉，买家只需支付不到2万美元的比特币，就可以从Tor网络中的Dream Market网络集市购买这些被盗的账户数据。具体账户信息及遭窃取账户数量如下：

·Dubsmash（1.62亿）

·MyFitnessPal （1.15亿）

·MyHeritage（9200万）

·HauteLook（2800万）

·ShareThis（4100万）

·HauteLook（2800万）

·Animoto（2500万）

·EyeEm（2200万）

·8fit（2000万）

·Whitepages（1800万）

·Fotolog（1500万）

·Armor Games（1100万）

·BookMate（800万）

·CoffeeMeetsBagel（600万）

·Artsy（100万）

·DataCamp（70万）

从已经放出的数据中可以看到，这些账户都是真实有效的，不仅包括账户持有人的姓名，还有其电子邮件地址和账户密码等信息。尽管这些数据经过哈希处理或单项加密，但破解起来并不是一件难事。

不同的网站数据包含的信息也不尽相同，有些就含有位置、个人详细信息以及社交媒体身份验证秘钥等信息。不过这些数据中似乎并没有付款或银行卡之类的信息。

谁会成为买家？

据了解，垃圾邮件发送者和凭据填塞攻击（也称“撞库攻击”）发起者是对这些被盗信息最感兴趣的一群人。实施“撞库攻击”的犯罪分子往往会使用从一个网站中窃取的用户名及密码尝试登录该用户其他网站的账户。

打个比方说，假如有人购买了500px的数据库，而刚好500px使用的是已经过时的MD5加密算法，那么购买者就能够轻易获得这个账户的登录邮箱和密码，进而登录同样使用该邮箱和密码的Gmail和Facebook账户。

目前，所有的被盗数据库都由一名黑客单独控制。这名黑客称其通过网页应用中的安全漏洞来获得远程命令执行，进而提取用户的账户信息。这些数据大都是2018年更新过的的最新版本，已于本周开放售卖。

这名黑客称目前已经有一人购买了Dubsmash的数据库。

其中有一些网站，包括MyHeritage、MyFitnessPal和Animoto，已经在去年披露了其网站遭受黑客攻击的事实，但我们却从未听说剩下的那些网站也存在安全漏洞。也就是说，如果数据卖家的说法属实，这将是这些网站的信息第一次遭遇公开售卖。

数据是否真实？

MyHeritage的一名发言人证实，目前正在出售的样本数据的确是真实的，并承认这些数据是黑客于2017年10月在MyHeritage的服务器上获取的。500px和EyeEm也证实自己的账户数据遭到了窃取，且恰恰是那名卖家正在出售的那批。这几家网站的声明进一步增强了这批数据库的可信度。

上周，Dubsmash、Animoto、EyeEm、8fit、Fotolog以及500px 等6家网站的数据在Dream Market上架。紧接着的周末，这个地下集市由于拒绝服务攻击而部分关停，但由于本周一全面恢复运转。与此同时，剩下的10家网站信息也陆续上架。而后Dream Market再次停止运营。

以下是待售数据库的简要介绍：

Dubsmash

十分受年轻人喜爱的视频信息软件，总部位于纽约

数目及金额：共计161,549,210个账户，总售价0.549比特币（约合1,976美元）

详细信息：共计11GB，每个账户包括用户ID、SHA256哈希密码、用户名、邮箱地址、语言、国别，部分账户含有用户真实姓名。

500px

面向摄影师和摄影爱好者的社交平台

数目及金额：共计14,870,304个账户，总售价0.217比特币（约合780美元）

详细信息：共计1.5GB，每个账户包括用户名、邮箱地址、使用MD5、SHA512或哈希加密的密码、用户真实姓名，部分账户包括生日、性别、所在国家及城市等。

EyeEm

面向摄影师的交友软件，德国企业

数目及金额：共计22,360,765个账户，总售价0.289比特币（约合1,040美元）

详细信息：共计1.7GB，每个账户包括邮箱地址和SHA1哈希密码，不过其中有约300万个账户中并没有邮箱信息。

8fit

为健身爱好者提供个性化的运动及饮食方案，德国企业

数目及金额：共计20,180,667个账户，总售价0.2025比特币（约合728美元）

详细信息：共计1.9GB，每个账户包括邮箱地址、哈希密码、国别、国家代码、Facebook身份验证秘钥、Facebook头像、姓名、性别以及IP地址。

Fotolog

专门为摄影爱好者打造的社交网站，总部位于西班牙

数目及金额：共计1600万个账户，总售价0.52比特币（约合1,872美元）

详细信息：共计5.9GB，每个账户包括邮箱地址、SHA256哈希密码、安全问题及答案、用户真实姓名、位置、兴趣及其他个人信息。

Animoto

在线视频制作和分享平台，总部位于纽约

数目及金额：共计25,402,283个账户，总售价0.318比特币（约合1,144美元）

详细信息：共计2.1GB，每个账户信息包含用户ID、SHA256哈希密码、邮箱地址、国别、用户真实姓名、出生日期等。

MyHeritage

根据用户的基因帮助追踪家谱信息，以色列公司

数目及金额：共计92,284,478个账户，总售价0.549比特币（约合1,976美元）

详细信息：共计3.6GB，每个账户信息包含邮箱地址、SHA1哈希密码及盐算法以及账户创建日期。用户的DNA或其他相关敏感信息并为遭到窃取。

MyFitnessPal

一款追踪用户饮食及锻炼情况的应用程序

数目及金额：共计150,633,038个账户，总售价0.289比特币（约合1,040美元）

详细信息：共计3.5GB，每个账户信息包含用户ID、用户名、邮箱地址、SHA1哈希密码及盐算法以及IP地址。

Artsy

艺术作品在线分享平台，总部位于纽约

数目及金额：共计1,070,000个账户，总售价0.0289比特币（约合104美元）

详细信息：共计184MB，每个账户信息包含邮箱地址、姓名、IP地址、位置、SHA512哈希密码及盐算法。

Armor Games

在线小游戏平台，总部位于加利福尼亚

数目及金额：共计11,013,617个账户，总售价0.2749比特币（约合988美元）

详细信息：共计1.8GB，每个账户信息包含用户名、邮箱地址、SHA1哈希密码及盐算法、出生日期、性别、位置及其他个人信息。

Bookmate

阅读类应用程序

数目及金额：共计8,026,992个账户，总售价0.159比特币（约合572美元）

详细信息：共计1.7GB，每个账户信息包含用户名、邮箱地址、SHA512 哈希密码及盐算法、出生日期、性别及其他个人信息。

CoffeeMeetsBagel

网络视频约会网站

数目及金额：共计6,174,513个账户，总售价0.13比特币（约合468美元）

详细信息：共计673MB，每个账户信息包含用户真实姓名、邮箱地址、年龄、注册日期、性别以及SHA256哈希密码。

DataCamp

数据分析在线教育平台，美国公司

数目及金额：共计700,000 个账户，总售价0.013 比特币（约合46.8美元）

详细信息：共计82MB，每个账户信息包含邮箱地址、哈希密码、位置及其他个人信息。

HauteLook：会员制购物网站，提供世界顶尖品牌时装、配饰等，总部位于洛杉矶

数目及金额：共计2800万个账户，总售价0.217 比特币（约合780美元）

详细信息：共计1.5GB，每个账户信息包含邮箱地址、哈希密码以及姓名。

ShareThis

一个致力于互联网分享工具开发的创业平台

数目及金额：共计41,028,098个账户，总售价0.217比特币（约合780美元）

详细信息：共计2.7GB，每个账户信息包含姓名、用户名、邮箱地址、DES哈希密码、性别、出生日期及其他个人信息。

Whitepages

在线电话号码及地址信息到查询平台，总部位于西雅图

数目及金额：共计17,775,679个账户，总售价0.434比特币（约合1560美元）

详细信息：共计2.9GB，每个账户信息包含邮箱地址、SHA1哈希密码、真实姓名等。

这名数据卖家表示，早自2012年开始，他们就已经从各个网站盗取了近10亿条账户数据，但他并不会将这些信息全部出售，剩下的那些留备私用。