密码泄露查询网站HaveIBeenPwned创建者/安全专家Troy Hunt被钓鱼导致数据泄露

现实案例告诉我们即便是网络安全专家也可能在网上上当受骗，这次的案例是知名密码泄露查询网站 HaveIBeenPwned.com 的创始人特洛伊・亨特 (Troy Hunt)。

特洛伊亨特是网络安全专家，他也是最早从暗网收集泄露数据库并搭建密码泄露查询网站的人，人们只需要在 HIBP 网站输入自己的账号或邮箱即可查询是否存在数据泄露及对应泄露数据的网站。

此次针对亨特的钓鱼邮件也是精心准备的，亨特使用订阅邮件服务提供商 Mailchimp 向 16000 名订阅者提供消息发布，黑客冒充 Mailchimp 发送了这封钓鱼邮件。

在钓鱼邮件中黑客称 Mailchimp 收到关于其个人博客邮件订阅的垃圾投诉并导致邮件发送权限受限，当时亨特处于时差和疲惫状态，于是并未仔细检查邮件发送人就点击链接。

链接对应网站需要输入账号密码和 2FA 验证码，尽管亨特注意到 1Password 并未自动填充账号密码 (因为该密码管理器仅会向已保存的网站自动填充)，但还是手动输入了账号密码并且从 1Password 中复制粘贴了 2FA 验证码。

黑客在背后使用自动化程序，当接收到账号密码和 2FA 验证码后，自动化程序立即进入了 Mailchimp 并创建 API 导出了所有订阅者 (包括取消订阅) 的电子邮箱地址。

所幸这次钓鱼事件的潜在影响非常有限，这不会泄露 HaveIBeenPwned.com 的数据，只是订阅亨特博客的人接下来可能要提防冒充亨特的电子邮件。

另外在窃取亨特账号 2 小时 15 分钟后，Cloudflare 似乎检测到异常于是关闭了这个钓鱼网站 (hxxp://mailchimp-sso.com)，亨特也手动向谷歌举报了该网站，所以 Chrome 也能拦截这个钓鱼网站。

和大多数专业黑客一样，此次发起攻击的黑客通过某种方式盗用了比利时一家清洁公司的邮箱用来发送钓鱼邮件，通常这类企业的域名声誉较高，可以降低被拦截的概率。

最后还是提醒各位不要轻易点击电子邮件中的地址，任何邮件都应该核对其发信人邮箱 (但也可以通过代发进行假冒) 以及核对链接的域名，否则真的很容易上当受骗。

博客原文：https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/

补充说明：

蓝点网有点怀疑发起攻击的黑客到底是什么目的，注意一个 .com 域名需要大约 8 美元并且在被发现钓鱼而被拦截后基本就失去了价值。

盗用一家比利时企业的邮箱针对一个个人博客邮件订阅发起钓鱼，最终只获得 16000 个电子邮箱地址，总感觉这着实没必要吧？总不能黑客以为亨特的邮件订阅有几十万名用户？

如果黑客不是为了炫技，那大概率会使用窃取的这些邮件发送针对性的钓鱼邮件，比如就是冒充亨特发送其他钓鱼邮件发送恶意软件或窃取其他信息，但这种情况能收获的东西实在是没法猜。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/