在数字化时代，数据已成为最宝贵的资产之一。然而，数据泄漏与数据外泄事件频发，不仅给个人隐私带来了巨大风险，也对企业安全构成了严峻挑战。网络犯罪分子通过各种手段非法获取数据，并利用这些信息实施攻击，而执法机构与安全从业者则试图利用这些数据进行溯源和防御。

本文将深入探讨数据泄漏的不同类型，从攻击与防御两个层面剖析其应用价值。无论是识别匿名账户、追踪网络犯罪，还是帮助企业加强安全防护，数据泄漏在网络安全领域都扮演着至关重要的角色。通过这些分析，我们不仅能更好地理解数据泄漏的危害，也能为应对未来的安全挑战提供有力的参考。

为了更清晰地理解数据泄漏的本质，我们需要区分不同类型的数据暴露方式，例如意外公开的数据泄露（Data Leaks）、黑客攻击导致的数据外泄（Data Breaches）、病毒木马窃取的日志（Stealer Logs）、以及因勒索软件攻击导致的数据泄露（Ransomware）。不同类型的数据泄漏不仅获取方式不同，其用途和危害也各不相同，数据泄漏相关的概念如下所示：

1.数据泄露（data leaks）：此类数据通常因意外而通过公共在线资源被发布或“泄露”。可能涉及合法获取并公开共享的选民信息；通过第三方网站存档的营销数据库中的公共信息；以及因配置错误而公开的在线数据库（例如，ES数据库中可直接访问的数据）。这些数据泄露的共同特征在于，访问这些数据的个体并未怀有恶意意图，即并非出于侵犯服务器并窃取数据的目的，因此这种访问可能被视为合法。

2.数据泄漏/数据外泄（data breaches）：此类数据属于非法获取的数据，当犯罪分子非法侵入目标服务器并下载内容时，就会发生数据泄漏/数据外泄。例如Twitter和linkedIn的数据泄漏事件中，人们的电子邮件地址和密码被非法获取并在互联网上发布。         

3.日志（Logs）：这些数据有时被称为“Stealer Logs”或者“Password Logs”，他们是被从感染的机器非法获取的。这种情况发生在网络犯罪分子通过社会工程学的手段欺骗受害者安装病毒木马，该病毒木马窃取受害者主机的数据并将其发送到C2主机，这些数据通常包括用户存储的密码、Session Cookie、文档、照片和其他敏感信息。这种类型的数据可能会暴露那些未经任何已知数据泄漏的人的密码，并且数据的真实性和准确性会更高。        

4.勒索软件（Ransomware）：这类数据也是非法获取的。网络犯罪分子在受害者主机安装病毒木马，感染多台主机，复制所有数据，加密服务器上的所有文件，并将偷取的数据副本作为“人质”。然后，勒索组织提出支付赎金以解密所有数据，并威胁如果未收到赎金，将免费公开被盗数据。这种事情几乎每天都会发生。  

站在执法角度，对于“攻击者”（Offense）而言，执法者可以利用这些泄漏数据，结合开源情报（OSINT）技术，从多个维度对目标进行分析。例如，关联攻击者的真实住宅地址、挖掘别名账户与真实身份之间的联系、将社交媒体账户与个人信息匹配、识别虚拟电话号码持有人，甚至通过Stealer Logs等日志数据获取攻击者的设备指纹信息。通过这些方法，执法人员能够在错综复杂的网络环境中逐步揭开攻击者的真实身份。具体可以进行的操作为：          

1.识别住宅地址（Identify Home Address）：有些人非常善于在互联网上保护自己的姓名和住宅地址，你可能在人员搜索网站上找不到相关信息，然而，当他们在网上订购产品或者注册选民时，往往会有疏忽。当其他在线资源无法成功获取信息时，数据泄露、数据外泄和漏洞往往会披露出真实的住宅地址。

2.识别别名账户持有人（Identity Alias Account Holders）：在实战中，好多网络威胁组织会使用袜子木偶伪装多个假身份，执法者往往获取到的都是假身份，对于溯源真实攻击者身份增加难度，这时候就需要使用泄漏数据库根据线索进行相似性关联匹配，例如在某个泄漏字段中我们发现嫌疑人使用的邮箱账户A，并且该账户在我们的数据库中存在记录，关联的密码为“badguy432！@”，当我们发现另一个电子邮件地址的密码为“badguy432%$”时，我们称该记录为一个线索。据不完全统计，许多网络犯罪嫌疑人会在他们的真实账户和袜子木偶账户上使用相同的密码，这是人性的弱点，一旦他们的信息与多个数据泄露记录关联，我们就可以将这些信息整合起来。        

3.将社交网络账户与真实个人关联起来（Associate Social Network Accounts to People）：当一个服务发生数据泄漏时，通常会披露原本隐藏的电子邮件地址和手机号码，以及产品的用户名，这可以为我们揭示账户持有人的真实身份提供线索信息，与前述两个方式结合使用会闭环整个溯源流程。有些大可爱可能会说，我具有执法权，我去运营商查，国外你有执法权吗？兜里的预算够吗？......      

4.识别电话号码所有者（Identify Telephone Number Owners）：许多人使用网络电话号码和预付费手机卡来保护自己的真实身份，网络犯罪分子通常也这么做，当我们想要确定某个骚扰电话的所有者时，标准的开源情报技术可能会失效，比如查不到支付宝、没注册微信。然而我们可以通过数据泄漏数据中获取有关这些号码的一些有价值的信息。   

5.识别机器标识符（Machine Indentifiers）:当我们的目标出现在“Stealer Logs”中时，我经常会看到一个独特的硬件标识符和他们的屏幕截图，这通常是受害者被病毒木马攻击之后上传的相关数据。这部分数据是非常宝贵的信息，国外开源情报从业者称，“Stealer Logs”是其进行溯源最有益的数据类型。       

6.识别附加电子邮件地址（Identify Additional Email Addresses）：一旦您获得目标用户的唯一用户名，通过在数据泄露中搜索该详细信息，往往可以发现与该用户名非常相似的附加电子邮件地址。这可以让我们转向新的目标数据，从而迅速展开一项调查。

7.商务细节（Business Details）：如果您正在调查一家遭受数据泄露的公司，拥有被盗数据可以揭示比任何网站或商业列表页面更多的信息。了解客户数量、加密类型和其他细节可以提供比公开数据更大的价值。      

在网络安全防御领域，数据泄漏不仅是攻击者利用的信息源，也是防御者需要密切关注的风险点。每一次数据泄漏都可能成为黑客发动进一步攻击的突破口，暴露敏感信息、扩大攻击面，甚至导致企业或个人遭受严重损失。因此，安全防御者必须主动识别和应对数据泄漏风险，建立有效的防御机制，以减少攻击带来的威胁。        

从防御角度来看，企业和个人可以采取多种措施来降低数据泄漏的影响，例如：监测和检测自身数据是否出现在泄漏数据库中、加强账户安全策略、提高员工和用户的安全意识、实施零信任架构、限制敏感数据的暴露范围，以及针对Stealer Logs等威胁采取特定的防御措施。通过这些手段，安全团队可以在数据泄漏发生后快速响应，并最大程度减少潜在损害。站在网络防御（Defense）的角度，他们可能进行的具体操作为：

1.识别企业/个人被盗资产（Identify Stolen Assets）:一般识别被盗资产的需求大多为企业，以及极少数个人。如果你是企业的网络安全相关员工，贵公司不幸遭受数据泄漏，您可能考虑追踪被盗的数据。这时候就需要分析泄漏样本，避免犯罪分析的欺诈行为。我们强烈建议所有数据泄漏受害者进行调查并获取公开数据。事实上，这才是客户最需要的一项服务。    

2.协助披露通知（Aid Disclosure Notifications）：在企业遭受网络攻击的情况下，根据国外诸多法律法规和现实案例，公司需要向受数据泄漏影响的相关人员发送通知。掌握犯罪团伙之间共享的详细信息，有助于确定针对受影响的受害者制定适当的披露标准。但是在中国，我从来没见过哪家企业这么有担当，制定过对应的披露方案，告知用户可能受到的影响，可能我们的网络安全防御做的杠杠的吧，毕竟各大重要网络安保那可都是一堆喜报，一堆零事故...........那么问题来了，没发现的威胁算不算事故呢？

3.保护客户免受未来攻击（Defend Clients From Future Attacks）：企业订阅数据泄漏线索、勒索线索等网空威胁线索，可以及时的获取企业本身的外部威胁，未雨绸缪。

原文始发于微信公众号（OSINT情报分析师）：数据泄漏：黑客的武器，还是防御的利剑？——从攻防两端解析数据泄露的影响与应对