昨天，《****》撤销了记者尼科尔·佩尔罗斯（Nicole Perlroth）所称的“史上最大的黑客攻击”的独家报道。从它所能支撑的数字来看：12亿个账户，覆盖了超过42万个网站的5亿个独特电子邮件地址。这些数据被一个叫做CyberVor的俄罗斯黑客组织捕获，并被Hold Security披露。但随着硝烟散去，黑客似乎不像这篇文章让你相信的那样是犯罪杰作。

---

安全部门已经在利用恐慌

《福布斯》的克什米尔山和《华尔街日报》的丹尼·亚德龙都指出，最大的问题是Hold Security已经在利用这种恐慌，向任何想查看自己姓名和密码是否在名单上的人收取每年120美元的订阅费。霍尔德说，这只是试图收回开支，但引发人们对网络犯罪的恐惧，然后要求关心此事的公民付出代价，这是不体面的。这也给了Hold一个明确的动机，那就是向记者谎称这个发现有多大、有多重要。

当然，事实仍然是事实，但即使是这里的硬数据也有点奇怪。如果黑客入侵12亿个用户名的想法听起来不可思议的话，那应该是。只有少数几家用户超过10亿的服务公司——Facebook、谷歌搜索和微软办公（MicrosoftOffice）领头羊——如果其中任何一家公司参与进来，Hold都会毫不避讳地这么说。相反，这些数据来自几个月来几十万次的妥协。将其与Adobe或Target之类的漏洞进行比较，就像Perlroth反复做的那样，根本没有意义。

将其与Adobe或Target等漏洞进行比较根本没有意义

如果CyberVor能够成功地在所有42万个网站上破解这些数据，那将是一件令人印象深刻的事情，但即便如此，这一点仍不清楚。以下是Hold Security对攻击的描述：

Initially, the gang acquired databases of stolen credentials from fellow hackers on the black market. These databases were used to attack e-mail providers, social media, and other websites to distribute spam to victims and install malicious redirecti*** on legitimate systems. Earlier this year, the hackers altered their approach. Through the underground black market, the CyberVors got access to data from botnet networks... [which] used victims’ systems to identify SQL vulnerabilities on the sites they visited.... eventually ending up with the largest cache of stolen personal information, totaling over 1.2 billion unique sets of e-mails and passwords.

有什么奇怪的吗？Perlroth的文章和Hold Security的描述都没有说该组织实际上窃取了所有12亿个密码。他们只是“最终”和他们在一起。我们已经知道这个团伙最初是从购买早期黑客的数据开始的，但现在还不清楚购买的数据从哪里结束，被盗的数据从哪里开始。很多密码可能是别人黑客入侵的旧数据。

SQL注入是一种强大的技术，但也是一种常见的技术

但涉及的公司安全问题又如何呢？Hold Security表示，受影响的公司“从财富500强公司到非常小的网站”，但他们的技术比大公司更适合小型网站。SQL注入是一种强大的技术，但也是一种常见的技术。黑客使用这种攻击已经有十多年了，任何安全专家都知道如何防范它。财富500强的公司总是有可能让自己暴露在风险之下（你永远不应该低估自己的无能），但这似乎是一个遥不可及的机会。大多数类似的黑客攻击（Target，Adobe）都涉及广泛的研究和专门针对该公司的多阶段黑客攻击，比Hold描述的攻击复杂得多。

另一方面，如果CyberVor购买的是财富500强的数据，而不是破解系统，那么该集团将有很多选择。这些数据可能来自Target、LinkedIn，或者类似2012年全球支付黑客攻击的上游漏洞。所有这些数据仍在网络的黑暗角落里游荡，任何愿意付费的人都可以得到。随着年龄的增长，用户名会越来越便宜，所以如果是像全球支付这样的两年黑客攻击，数到10亿甚至不会那么贵。

数据可能更多的是关于数量而不是质量

不过，最大的危险是，CyberVor并不是在试图**数据或利用数据窃取实际资金。他们用它来做Twitter垃圾邮件，这是一种相当于煮骨头换股票的黑暗网络。如果他们能用这些密码做些什么，那将比垃圾邮件更有利可图、更可持续。工作人员减少到盗取Twitter账户的事实表明，这些数据更多的是关于数量而不是质量。

你剩下的是一堆乱七八糟的东西。显然赛博沃一直很忙，他们似乎造成了真正的损害。垃圾邮件发送者很糟糕，破解小型网站和破解大型网站一样糟糕。但这次黑客攻击最令人印象深刻的方面（12亿个账户，42万个网站）都与黑客是如何陷害的，而不是如何实施的有关，很容易看出原因。没有人会一年支付120美元，只是为了看看他们的Twitter是否会被黑客入侵。