一家名为RiverCityMedia（RCM）的垃圾邮件公司无意中暴露了他们的数据库，将公司的全部运作公之于众。数据包含13.4亿个电子邮件账户，还记录了如全名、现实地址和IP地址等用户个人信息。

 

　　RCM会提供某种形式的“免费礼物”，以换取用户的电子邮件地址和个人信息，并与第三方和合作伙伴共享。同时，RCM在一些活动中一直在使用非法IP劫持技术。

 

　　RCM公开的数据显示该组织有30多个化名，还暴露了其内部资产、多个IP地址、IP地址块、服务器等。RCM的阿尔文·斯洛科姆与许多域名注册商所有者关系亲近，后者可为其提供多个域名，以绕开检测。业务联系包括Alpnames、EmailTraffic.com、TierPoint等，是RCM运营的核心。

 

　　这是关于一家垃圾邮件公司RiverCityMedia（RCM）的故事。由于未能正确配置其Rsync备份，该公司的阿尔文·斯洛科姆和马特·费里斯意外地将公司的全部运作公之于众。

 

　　克里斯·维克里是MacKeeper软件的安全研究人员，他发现了这个著名又狡猾的垃圾邮件操作的数据，并将这些数据共享给了SaltedHash、反垃圾邮件组织Spamhaus和相关执法机构。

 

　　尽管安全从业人员熟悉垃圾邮件发送者及其方法，但这个故事为我们提供了一个难得的机会，让我们得以深入了解他们的日常操作。

 

　　有点不太对劲

 

　　“如果你还没有更改聊天软件Skype和Hipchat密码，请尽快更改。”2月初阿尔文·斯洛科姆在HipChat上写道。

 

　　他怀疑公司已被黑客入侵了。在全体消息中，他敦促每个人都要更换“过去我们可能存储任何信息”的密码。

 

　　他的假设是错误的，公司并没有遭到黑客攻击。然而，现实情况是，RCM仍然遭受了严重的数据泄露，而他们要负直接责任。至此，他们的备份已经暴露了一个多月。

 

　　维克里已经发现了一切。从Hipchat日志和域注册记录，到会计细节、基础设施和生产说明、脚本以及业务从属关系。此外，维克里还发现了13.4亿个电子邮件

 

　　账户。这些是将收到垃圾邮件的账户，RCM将此种行为叫做“为这些账户提供信息”。其中一些记录还包含个人信息，例如全名、现实地址和IP地址。

 

　　“我的自然反应是质疑数据集是否真实。”维克里在笔记中解释道此次发现。

 

　　“那是我的第一反应。现在，我仍在努力寻找最好的软件解决方案来处理如此庞大的数据集，但是我已经询问了一些认识的人，条目是准确的。唯一的可取之处是，其中一些已经过时了几年，主体也不再住在同一地点。”

 

　　维克里还发现了RCM用来规避反垃圾邮件措施的数千个预热电子邮件

 

　　账户。整体来看，他发现的大部分个人记录和电子邮件地址都是通过一个名为CoReg的联合注册程序收集的。

 

　　CoReg的电子邮件来自那些网上注册的用户，他们的地址被网站第三方或合作伙伴分享。

 

　　“没有人会故意把自己的邮件地址给垃圾邮件发送者，因此后者必须欺骗他们。通常，公司会提供某种形式的“免费礼物”，以换取你的电子邮件地址和个人信息。

 

　　之后，公司可以与他们的“合作伙伴”共享这些地址和信息，“合作伙伴”最终还是他们合作伙伴的合作伙伴，以及他们合作伙伴的合作伙伴的合作伙伴，直到地球上的每个垃圾邮件发送者都有他们的地址为止。”Spamhaus的迈克·安德森解释道。

 

　　他继续解释说，这样的地址列表是该行业的命脉，并且不断通过跟踪系统对其分析，检查哪些地址正在浏览垃圾邮件广告，哪些地址正在点击垃圾邮件广告，哪些地址正在购买它们。

 

　　“与此同时，最初的地址交接合同也没有履行，因为要想赎回‘免费礼物’难上加难，基本不可能做到。”当然，这些地址从未经过确认程序，因而无法所填地址是否真实。”

 

　　对于这个故事，我们将探讨RCM的财务和操作，但是需要注意的是，这些数据只是从备份中获取的快照。许多记录是截至2017年1月的最新记录，而其他记录最近一次更新是2016年12月。

 

　　在查看了一些文档并花了无数天来研究SaltedHash和维克里的操作后，Spamhaus得出结论，RCM在一些活动中一直在使用非法IP劫持技术。

 

　　相关执法部门已知晓其违规行为和暴露的可疑活动。但是，对此我们无法透露，因为涉及机构不能评论尚未决定或调查中的案件。

 

　　Spamhaus将会针对所有IP地址和其他与这起事件相关的滥用行为采取行动。问题是，像RCM这样的组织使用大量别名和附属程序，因此尽管封锁其基础架构有些许作用，但无法保证使其永远停业。

 

　　关于通知，维克里说他没有直接接触RCM。

 

　　“一旦我们得出结论，确定这确实与犯罪行为有关，我们会在尝试直接联系垃圾邮件发送者之前，与执法部门和受影响的公司（如Microsoft和Yahoo）联系。在通知执法部门和大公司的过程中，泄露的服务器隐匿了，因而我没有直接联系到垃圾邮件发送者。”

 

　　RiverCityMedia

 

　　——ROKSO十大运营机构

 

　　已知垃圾邮件操作登记（ROKSO）数据库由Spamhaus维护，该组织致力于打击垃圾邮件。ROKSO跟踪专业的垃圾邮件运营，并使用三击规则（three-strikerule）记录其行动。在该数据库索引的数十个运营商中，其中一个是CyberWorldInternetServices的所有者阿尔文·斯洛科姆。

 

　　斯洛科姆还与其他一些化名相关联，包括e-Insites、Brand4Marketing、AdMediaPlus和SiteTrafficNetwork。他经常与马特·费里斯及其公司RCM保持联系。

 

　　总之，RCM公开的数据将该组织在过去两年里与20多个业务合作伙伴联系了起来，并显示该组织有30多个化名，包括RCMDelivery、PeasantValleyMarketingGroup、eBox和WhartonDynamics,Inc.。

 

　　RCM的数据泄露还暴露了该组织的内部资产、2,199个用于公众活动的IP地址、RCM为过去的活动以及当前和未来的业务所确定的60个IP地址块，以及经常轮换使用的140个活跃的DNS服务器。

 

　　根据活动日志记录文档，数据泄露还暴露了300多条活跃的邮件交换记录。仅在两个电子表格中，RCM就记录了近100,000个他们活动的域。

 

　　如前所述，维克里发现了成千上万个用于预热的电子邮件账户。这些预热账户是RCM员工用计算机生成和维护的。它们的使用和创建基本上违反了创建它们的大型电子邮件提供商的服务条款（TOS）。公开的RCM记录里显示了Gmail、AOL、Hotmail和Yahoo的预热账号，但肯定还有其他的电子邮箱。

 

　　流程如下：RCM将某个活动的消息发送到这些预热账号。由于这些账号不会从这些消息中生成投诉（毕竟他们也不会抱怨自己），因此电子邮件服务提供商或附属程序会将他们列入发件人白名单。一旦有了坚实的信誉基础，他们就准备用垃圾邮件冲击其他账号。

 

　　如果垃圾邮件被拒收，或以其他方式被转储到垃圾邮件或垃圾文件夹中，或其给定域被列入黑名单，RCM将返回一个包含数千个域的列表，并选择另一个域重新启动进程。

 

　　在某些情况下，RCM会使用过去的域。这些老域名很有价值，因为新注册的域名会立马就会受到怀疑，特别是如果新域名从未发送过电子邮件。RCM泄露的一些文件显示，他们计划通过拍卖购买旧域名。其他批量购买的域用来预热，等到具有良好的使用时长和声誉后再使用。

 

　　如果被发现发送垃圾邮件，RCM会删除并替换正在使用的域。附属ID的过程与上述是相同的。但是，斯洛科姆和费里斯与供应商和营销伙伴之间关系良好，所以几乎没有风险。

 

　　例如：2016年12月，其中一个暴露的聊天记录显示斯洛科姆向费里斯解释，他们的好友迈克·波姆“与Alpnames（域名注册商）所有者是非常亲密的朋友，因此如果出现任何问题告诉我，我会看看他是否会与我们合作/不会把我们拉下来。”

 

　　业务联系

 

　　Alpnames在Spamhaus的滥用域名注册商列表中排名第一。Spamhaus称，现在他们似乎更喜欢与垃圾邮件制造者合作，提供注册折扣，并保证不会因为滥用域名而被取消。但是Alpnames并不是唯一突出的业务联系，EmailTraffic.com也是如此。

 

　　EmailTraffic.com聘用肖恩·麦考恩作为数据管理总监，但是在RCM聊天日志中，麦考恩也被称为MX。他是佛罗里达州MXLeads的所有者，同时也是RCM另一个合作伙伴FenixNetwork的幕后支持者。

 

　　在RCM聊天日志中，麦考恩因为他的脚本编写工作而受到尊重。他使RCM可以利用许多提供商来发送垃圾邮件。这样的示例包括Apple（Mac、me、iCloud）以及Hotmail、Gmail、AOL等。SaltedHash与所有供应商联系，与之共享了数据泄露所暴露的脚本和注释。为了以防万一，我们不会发布这些内容或介绍细节。

 

　　EmailTraffic.com的CEO是斯特凡·汉斯曼，他也是DomainersChoice的CEO。DomainersChoice是中国南京域盎软件科技有限公司旗下的公司。2016年，美国总统办事机构将南京域盎软件技术有限公司列入“恶名市场”名单，因为该公司与非法网络药店有联系。

 

　　根据RCM公开的记录，该公司从DomainersChoice中获得了很多域名，并使用MXLeads或FenixNetwork处理点击跟踪和退订。YoungstownSystemsLLC的发展加强了这些公司与RCM之间的联系。Spamhaus称，Youngstown可能是一家假冒的互联网服务供应商（ISP）。

 

　　Youngstown在EmailTraffic.com上有邮件往来记录，而A记录则指向了FenixNetwork。公开的文件表明该ISP是麦考恩和RCM之间的某种合资企业，但事实可能并非如此。

 

　　最后，还有TierPoint，一家与阿尔文·斯洛科姆和CyberWorldInternetServices有关系的合法ISP。它们是“CyberWorld”与互联网其余部分的唯一链接。RCM公开的IP记录显示，斯洛科姆在处理各种活动时会跟踪TierPointIP地址。SaltedHash向TierPoint、MXLeads和DomainersChoice提问征求评价，但截止本文发布，只有TierPoint做出了回应。

 

　　在一份声明中，Tierpoint发言人不愿对费里斯、斯洛科姆、RCM或CyberWorldInternet发表评论。

 

　　“我们可以告诉你的是，我们为5,000多个客户提供服务，其中许多是托管公司。作为我们与其中一些公司协议的一部分，我们分配了一部分IP地址，这些客户（或他们的客户）可以使用这些IP地址。在任何情况下，如果我们收到来自执法机构的正式通知，怀疑存在非法活动、垃圾邮件或其他行为，我们将与执法机构密切合作，并采取一切适当措施保护我们更大的客户群、设施和网络。”

 

　　——Tierpoint

 

　　除此之外，RCM泄露的文件还显示了Tierpoint的紧急联系人DanS.和用户名alvinslobocombe（阿尔文·斯洛科姆）。此外，泄露的工程聊天日志显示斯洛科姆正在使用Tierpoint服务器讨论。

 

　　在公开的RCM数据中，我们可以发现，业务关系是RCM运营的核心。