谁是神秘社工库LeakedSource的管理员？

　　通过细节，社会工程学方法分析神秘社公库LeakedSource的管理员是谁，这个行为本身就是一个很吸引人的过程，而且作者还能真正的分析出来了。我们看看作者是如何分析的？

　　本篇文章适合安全研究员阅读，在不知道漏洞是什么原因导致的情况下，可以通过已有的证据，细节信息获得答案。

　　本篇文章阅读时间：10分钟

　　写在前面的话

　　Leakedsource.com可能是目前最大的数据泄漏信息收集网站了，用户可以在该网站找到很多严重数据泄漏事件中泄漏出来的数据，其中还包括很多热门网站（例如LinkedIn和Myspace等）的数十亿用户账号以及相应的登录密码。

　　但是在上个月月底，多家新闻媒体报道称执法部门已经成功拿下了Leakedsource的服务器。

　　事件详情

　　根据知情人士透露的信息，执法部门似乎已经掌握了LeakedSource幕后运营者的真实身份，而尴尬的地方就在于，他的真实身份是被他自己正在兜售的被盗数据库曝光的。

　　从2015年10月份起，LeakedSource便开始对外出售盗窃来的用户账号以及密码，而这些凭证信息大多来源于某些严重的数据泄漏事件。

　　在网站的搜索栏中输入任何一个电子邮箱地址之后，网站便会显示出与该邮箱地址对应的密码信息。但是，用户在查看密码之前还需要为该服务付费。

　　对于很多人来说，LeakedSource似乎是一个可以满足他们好奇心的地方，而对于某些新闻记者来说，LeakedSource也是一个调查数据泄漏事件的好去处。

　　BreachAlarm和HavelBeenPwned.com这样的在线服务在显示出相应的账号密码之前，会先让用户证明自己的确可以访问该账号或邮箱，但LeakedSource就不一样了，因为它不会对用户的合法身份进行任何形式的验证。

　　因此很多人也指责称LeakedSource的运营者只对赚钱感兴趣，只要有钱，他们就会给你提供账号和密码。

　　我对LeakedSource同样很感兴趣，但我的出发点不一样。因为我之前从多方渠道获悉，LeakedSource其中一名管理员也是abusewith[.]us（一个专门帮助用户破解他人电子邮箱以及游戏账号的网站）的管理员，所以我想要进一步确定这一消息的真实性。

　　注：2013年9月，abusewith[.]us作为一个在线论坛正式上线，该网站当时的内容主要是教会大家如何破解Runescape（一款大型的角色扮演类游戏-MMORPG）的账号。

　　在游戏中，玩家出售或购买武器、治疗药品和游戏中其他物品时使用的货币为虚拟金币，而abusewith[.]us会通过网络钓鱼以及漏洞利用等方式来窃取Runescape玩家的用户名和密码，成功入侵账号之后，他们便会将账号中的金币全部盗走。

　　abusewith[.]us的管理员是一位昵称叫“Xerx3s”的黑客，从Xerx3s的头像可以看出，这个名字取自薛西斯大帝，即一位生活在公元前五百年的波斯国王。

　　Xerx3s似乎非常擅长破解论坛账号以及Runescape等网络游戏的账号，除此之外，Xerx3s也是当时最大的Runescape金币卖家之一。

　　但是他经常会打折出售游戏金币，所以他的这些金币很可能是从其他账号中窃取来的。

　　我从2016年7月份才正式开始调查LeakedSource的幕后运营者，当时我曾尝试与网站联系方式中提供的邮箱账号（leakedsourceonline@gmail.com）取得联系，而不久之后，我便收到了一个私聊的Jabber聊天邀请地址（leakedsource@chatme.im）【点我获取聊天记录】。

　　我想知道的是，无论是从法律角度看还是从道德角度出发，LeakedSource的管理员是否都认为他们自己所做的一切是正确的，除此之外，我也想知道abusewith[.]us的管理员到底和LeakedSource有没有关系。

　　对方（LeakedSource的管理员）在聊天中说到：“由于2015年曾发生过多起严重的数据泄漏事件， 而我们当时也注意到了用户的需求，即用户都想知道自己是否受到了数据泄漏事件的影响。

　　因此这个想法也就油然而生了，我们认为我们应该满足用户的这种需求。”

　　就在两周之后，我的一个消息源告诉我，他最近与Xerx3s聊过一次，当时对方使用的是Xerx3s的Jabber聊天地址xerx3s@chatme.im，而这个地址也是Xerx3s本人之前一直在使用的。

　　当时，Xerx3s与我的消息源详细讨论了我之前与LeakedSource管理员的聊天内容，而这也就意味着，要么Xerx3s就是那个与我聊天的管理员，要么就是LeakedSource管理员将我和他的对话内容转发给了Xerx3s。

　　虽然他在abusewith[.]us上使用的昵称是Xerx3s，但是很多跟他在论坛上比较熟的人都叫他“Wade”，即“Jeremy Wade”，但这同样可能是个假名。

　　他以“Jeremy Wade”这个身份所使用的其中一个邮件地址为imjeremywade@gmail.com，根据WHOIS的搜索记录显示，这个邮箱与两个注册于2015年的域名有关系：即abusing[.]rs和cyberpay[.]info，而这两个域名的原始注册记录中都出现了“Secure Gaming LLC”这个名称。

　　“Jeremy Wade”这个名字曾在多个被黑的论坛数据库中出现过，而abusewith[.]us和LeakedSource等数据曝光网站都曾发布过这些泄漏数据库。

　　比如说，根据DDoS攻击服务提供商“panic-stresser[.]xyz”的用户数据库所泄漏的信息，其中有一个PayPal账号（eadeh_andrew@yahoo.com）曾给该网站支付了5美金，而用户名正是“jeremywade”。

　　泄漏的Panicstresser数据库也表明，Jeremywade的账号绑定的邮箱地址为xdavros@gmail.com，这个账号创建于2012年7月份，该账号首次登录所使用的IP地址为68.41.238.208，而这是网络提供商分配给美国密歇根州一位用户的动态网络地址。

　　根据大量论坛帖子提供的信息，邮箱地址xdavros@gmail.com的使用者还创建了很多其他的邮箱地址，包括alexdavros@gmail.com、davrosalex3@yahoo.com、davrosalex4@yahoo.com和hemarketsales@gmail.com等等。

　　xdavros@gmail.com这个地址曾在2011年注册了至少四个域名，其中两个为daily-streaming.com和tiny-chats.com，在这两个域名的原始注册信息中，域名拥有者为Nick Davros，地址为密歇根州马斯基根市沙丘大道3757号。

　　另外两个域名的拥有者为Alex Davros，地址同样为马斯基根市，而且这四个域名所使用的注册电话均为+12313430295。

　　Xerx3s被黑了？

　　2017年1月，当时网上流传着LeakedSource被黑的消息，于是我也开始继续搜索与Xerx3s和abusewith[.]us管理员相关的数据泄漏内容。

　　当时我突然想起，我在去年9月中旬曾收到过一条匿名信息，这个人声称自己入侵了themarketsales@gmail.com，而这个邮箱也是与Xerx3s有关的。

　　这个匿名消息源并没有告诉我他是如何入侵该账号的，但是通过Xerx2s所使用的密码以及之前多个论坛所泄漏的数据库信息来看，Xerx3s的多个账号使用的都是相同的密码。

　　他给我提供了很多themarketsales@gmail.com的访问截图，这些账号中的用户名称均为“Alex Davros”。

　　除此之外，我们也可以从截图中看到这个用户在2015年的一段时间内从Leakedsource.com收到了数千美金的Paypal打款。

　　除此之外我还发现，与themarketsales@gmail.com绑定的Paypal账户还会定期支付Hyperfliter.com的月账单，而这个公司一直在为abusewith[.]us提供DDoS防护服务。

　　根据这位匿名黑客提供的另一份截图显示，他也成功入侵了邮箱desiparker18@gmail.com，这个账号属于一位名叫Desi Parker的女士，而这个邮箱所绑定的Instagram账号也属于这位女士的。

　　Desi Parker的Instagram资料中配偶一项写的是“Alex Davros”，手机号码为231-343-0295，需要提醒大家的是，这个号码也是Alex Davros在注册daily-streaming.com和tiny-chats.com这两个域名时所用的号码，不过目前这个号码已经停机了。

　　实际上，根据Desi Parker的Facebook账号信息，她目前正在和Alexander Marcus Davros（@Alex Davros）谈恋爱，而并非真正与他结婚了。

　　但相比之下Alex的Facebook资料就非常少了。

　　在获得了这些零散的数据之后，我画了一张比较简单的思维导图来捋清思路。

　　在进行了细致的分析之后，最终得到的结果证明Xerx3s就是Leakedsource的网站管理员。

　　我曾想通过Twitter来与Davros取得联系，让他关注我的Twitter，这样我们就可以直接交流了。

　　我给他发了信息之后，大概过了60秒他就关注我了，但是他给我的回复只是这样一句话：哇！我表示非常惊讶，但我并不是这个网站的管理员。

　　不过在我进一步施压之后，他承认了自己就是Xerx3s，但他表示自己跟LeakedSource没有任何关系。大致聊天内容如下图所示：

　　就算Davros没有骗我，，就算他并非LeakedSource的管理员，但上面的这些细节信息足以表明他肯定与该网站幕后运营者有着千丝万缕的关系。

　　LeakedSource到底合不合法？

　　从某种程度上来说，LeakedSource幕后运营者给出的理由的确有其道理，而且该网站所提供的数据全部都是已经被泄漏在网络上的数据。

　　但是很多法律专家则认为，如果有证据可以证明某人利用该网站出售的泄漏数据来达到犯罪目的的话，那么Leakedsource的运营者可能将面临刑事指控。

　　与此同时，有些安全专家也认为，贩卖他人密码的行为很明显是一种违法行为，这种行为违反了计算机欺诈与滥用法（CFAA）。

　　由此看来，LeakedSource也许真的有罪，不仅是因为该网站提供了被盗账号的用户名和密码，而且该网站的运营者正在利用这些数据来谋取经济利益。

　　本文转载自 krebsonsecurity.com

　　原文链接：https://krebsonsecurity.com/2017/02/who-ran-leakedsource-com/

　　原文付费翻译：WisFree，安全客用户。

　　翻译地址：http://bobao.360.cn/news/detail/4002.html

　　如需转载，请标注原文地址以及翻译地址。

　　欢迎大家关注悬镜安全实验室公众号，最新安全动态，技术干货，悬镜使用攻略。在使用悬镜服务器卫士的过程中，如遇到任何问题，都可以加入我们的官方用户群【539903443】进行咨询，我们都会有专门的人员帮您解答。