12亿个网络账户被盗，你中招了吗？|中招|被盗|霍尔

美国网络安全公司HoldSecurity（位于密尔沃基）首席技术官亚历克斯·霍尔顿（Alex Holden）看上去脸色不错，这有些出人意料。也许他只是故作轻松罢了。在过去一周里，作为一位网络安全研究员，他的诚信遭到了怀疑。他被指撒谎和散布谣言。到目前为止，霍尔顿还没有与媒体谈论此事。

之前《纽约时报》报道称，霍尔顿的公司发现了12亿被盗用户名和密码，这些数据是被一群名为“网贼”（CyberVor）的黑客所获取的，他们攻破了全球最大的一些公司的网站。消息刊登出几小时之后，舆论开始哗然。为何420,000家受影响公司的名字无一被列出，为何Hold Security事先没有就黑客攻击一事通知这些公司？为何霍尔顿公然要求人们支付120美元以查询自己的信息是否被“网贼”窃取？霍尔顿在黑帽大会开幕时披露了这场数据灾难的详细信息，他是在此趁火打劫，聚敛不义之财么？黑帽大会是全球规模最大的信息安全会议，众多潜在客户云集在拉斯维加斯曼德勒海湾酒店（Mandalay Bay hotel）的大堂。

在接受福布斯独家专访时，有着乌克兰血统的霍尔顿称，媒体的怀疑已经对公司造成了伤害。“我们其实是亏钱的，负面报道实际上正在对我们的财务系统造成影响。”他对我说。“我们根本没想为了盈利而借此宣传，我们不会在服务上大做文章。事实上，我们正在努力避免破产。”

不过，对于持怀疑态度的看客们来说，这项收费120美元的服务相当于是在谋求不正当利益。这项服务本身的安全性就有问题，因为它要求用户将密码上传到Hold Security的一个服务器，以便与数据库进行比对。这让人颇为不安；一家网络安全公司为何要求用户交出密码？这难道不是与基本的安全做法截然对立么？

霍尔顿称，这里有一些令人混淆的地方，供个人查询自己的数据是否失窃的服务实际上是免费的。霍尔顿说：人们可以在Hold Security公司网站所提供的一张表格上输入自己的电子邮箱地址，随后会由一个程序来判断是否存在匹配项。然后用户可以选择上传个人密码，一个算法会将该密码转换成一次性散列，使任何看到它的人都无法读出。这一散列接着被拿来与数据库中的密码散列进行比对，以判断哪些证书受到了影响。尽管这看起来是一项正当服务，但大多数信息安全专家们会建议你在任何种场合下都不要交出密码，无论对方提供的是何种保护。

不过，这项个人服务不同于那个收费120美元的服务，后者是一种包年服务——订购了这一服务的用户能够知道霍尔顿及其员工所发现任何数据泄露事件（包括此次最新事件在内）对自己是否有影响。一位订购了Hold Security公司完整服务的客户收到了这一信息，并在了解袭击事件的来龙去脉以及如何从中恢复过来两方面得到了帮助。

霍尔顿承认，公司本可以围绕着该报道进行更好的沟通，而不是说自己正在亏本提供这些服务。他声称，自己实际上不会从中赚任何钱。“我们没有向一家公司或一位个人收取过费用。”

他说，自己实施的完全是利他行为。7月中旬，霍尔顿在其团队所监视的一个黑客网络黑市上发现了这批被盗的密码，他说自己当时想要披露这一发现是为了强调两点：一是，无论大小企业，它们的网站都不堪一击；二是，除密码之外，还需要设置更多保护。然而，并非所有这些密码都是在网络攻击中被盗的，有很多可能是买来的，但霍尔顿没有明确这两种来源的密码各占多少比例。这些数据中还包括很多老的、无法使用的证书。

但他仍然坚信，鉴于被盗信息的数量，此次数据泄露是一场不折不扣的灾难性。其中5亿个电子邮件地址关联了12亿张证书，这意味着数亿人可能受到影响。“被盗数据的量大得吓人。”

他没有披露所波及公司的名字，部分原因是他不希望卷入漫长且成本高昂的披露流程。这点可以理解。两个月前，霍尔顿联系我说，有一家机构似乎已被黑客攻破，这家机构后来被证实是黑客组织“网贼”的攻击目标之一。几天后，这家受影响的机构做出了回应。该机构位于圣迭戈，是一家非盈利性组织，目前仍在就事件进行调查，但该机构认为只是一些临时的用户名和密码受到了影响，不会危及到任何敏感数据。

最初，该机构的首席信息官（CIO）表示，如果查明是我和霍尔顿实施的攻击，他将会联系联邦调查局（FBI）。在我们进一步澄清之后，他接了个电话并终于弄清楚了：我们只是想告诉他这一事件值得好好调查。而调查过程相当漫长。把这一耗时以及随之产生的费用乘以420,000（遭黑客攻击的网站数量），就不难理解霍尔顿为何不愿与每一家公司都纠缠一遍了。

还有人认为，霍尔顿的看法中有一点需要引起我们警惕——他认为黑客们利用这些盗来的证书登陆社交网络，然后再利用这些社交网络账号发送垃圾邮件。但对于黑客而言，这似乎不是利用盗来的数据获利的最佳方式。霍尔顿有何回应？“我们不知道黑客的脑子里在想些什么？”他“据理推测”：他们之所以还使用垃圾邮件的手法，是因为这样他们就能够在不引人注意的情况下骗钱。垃圾邮件玩的无疑也是数字游戏，这可能就是他们为什么要避免更招眼的活动。为了赚大钱，犯罪分子们需要广撒网，因为转化率可能低至0.000001%。5亿个电子邮箱地址无疑会是个不错的开始。

无论旁观者们是否相信霍尔顿，整个事件暴露出一些令整个科技行业都束手无策的难题。对于想要引起媒体关注的安全公司，我们能在多大程度上给予信任呢？应当如何披露攻击事件，才能在保护受影响企业的同时也确保对客户保持透明度？为何大家仍在依靠用户名和密码来登陆大多数在线服务？我们如何能让公司对用户数据负起更多责任？

不幸的是，对于霍尔顿和此事所牵涉到的每一个人来说，引出的问题远比答案多。在一个推崇简单并以复杂为敌的世界中，这从方方面面来说都不是一个好消息。

译徐笑音校李其奇