烏克蘭警方逮捕洩露Collection#1的駭客

去年1月17日，成立Have I Been Pwned網站的資安專家Troy Hunt，在部落格揭露一起宣稱是史上最大規模的資料外洩事件，並命名為Collection #1，當中涉及逾7.7億個電子郵件信箱帳號。但是，究竟是誰收集了這些資料？在今年5月19日答案揭曉，烏克蘭國家安全局（Security Service of Ukraine，SBU）在5月19日，於伊凡-法蘭科夫（Ivano-Frankivsk），宣布逮捕名為Sanix（又稱Sanixer）的駭客，並指出他就是在去年1月，因為於網路討論版兜售一個電子郵件帳密資料庫，而引發全球資安專家關注的人。

他們在嫌犯住處查封電腦設備，內有2TB遭洩個資，並且起出19萬元烏克蘭格里夫納幣（UAH），以及3千美元，分別相當於新臺幣21萬元，以及9萬元。

去年Collection #1發生之後，有資安專家從暗網獲得的情報，指出這些資料來自於名為Sanix的駭客。根據這個線索，SBU認為駭客很可能就住在伊凡-法蘭科夫，因而展開追查，該單位也串連出整起事件之間的關連。

烏克蘭國家安全局找到當時因兜售大量電子郵件帳密，引發Collection #1事件的駭客Sanix，並在他的電腦裡找到大量的電子郵件帳號和密碼文件。

根據烏克蘭國家安全局截取的電腦螢幕畫面，他們也拍下這名嫌犯的通訊軟體帳號，表示就是在網路上轉賣大量個資的Sanix。

竊取資料背後另有其人

這起事件司法單位已有所行動，但資安界則抱持不同的看法，認為還有其他駭客涉案。

例如，資安公司Hold Security技術長Alex Holden，去年事發時就告訴資安部落格Kreb On Security，Sanix並非實際下手竊取資料的駭客，他只是掮客，從駭客收集外洩資料並加以整理，再進行販售。

Kreb On Security當時也聯繫上這名駭客，證實這項說法。Sanix透露，這些都是超過一年的舊資料，而且他手上不只有Collection #1，還有其他外洩資料合輯。

Sanix曾經向Kreb On Security透露，他收集了多組資料，而光是Collection #1本身就涵蓋了各式類型帳號，如左側樹狀目錄所列，涵蓋像是比特幣類型，或者是遊戲帳號，也有歸納來自美國、歐洲，以及俄國的帳號資料。

至於警方現在逮捕Sanix，恐怕不僅是因為Collection #1。威脅情資公司Intel 471認為，應與近期資料外洩事件有關。他們告訴Kreb On Security，Sanix被逮捕的主要原因，是因為他正在忙於販售各式帳密資料，讓客戶能遠端存取大型組織的遭駭資源。

例如，這名掮客在本月初，兜售全球近50間大學存取資料，還有美國聖貝納迪諾政府的VPN帳號等，都與遠端存取有關。