去年1月17日,成立Have I Been Pwned网站的安全专家Troy Hunt,在博客披露一起宣称是史上最大规模的资料外泄事件,并命名为Collection #1,其中涉及超过7.7亿个电子邮件信箱账号,但是,这些资料的来源究竟为何?乌克兰国家安全局(Security Service of Ukraine,SBU)在5月19日,于伊凡-法兰科夫(Ivano-Frankivsk),宣布逮捕名为Sanix(又称Sanixer)的黑客,并指出他就是在去年1月,因为于网络讨论版兜售一个电子邮件帐密数据库,而引发全球安全专家关注的人。
SBU的专员指出,当时事件出现的87GB帐密资料,仅是Sanix持有的一小部分,他们发现Sanix拥有至少7个类似的数据库,文件容量接近1TB,涵盖个人或是财务账号,主要是来自于欧洲和美国。根据黑客使用Sanix这个名称,SBU认为,黑客很可能就是住在伊凡-法兰科夫的当地居民,因而展开追查,该单位也串联出整起事件之间的关联,他们在嫌犯住处查封计算机设备,内有2TB遭泄个人信息,并且起出19万元乌克兰格里夫纳币(UAH),以及3千美元。
乌克兰国家安全局找到当时因兜售大量电子邮件帐密,引发Collection #1事件的黑客Sanix,并在他的计算机里找到大量的电子邮件账号和密码文件。
根据乌克兰国家安全局截取的计算机屏幕画面,他们也拍下这名嫌犯的通信软件账号,表示就是在网络上转卖大量个人信息的Sanix。
在Collection #1案发当时,不少安全专家调查此事,并且提供进一步信息。例如,当时安全公司Hold Security首席技术官Alex Holden,就向安全博客Kreb On Security表示,Sanix并非实际下手窃取资料的黑客,他应该只是掮客,从黑客收集到资料并加以整理后销售。Kreb On Security也联系上这名黑客,证实这项说法,Sanix也透露,这些在当时都是超过一年以上的旧资料,而且不只有Collection #1,还有其他的外泄资料合辑。
Sanix曾经向Kreb On Security透露,他收集了多组资料,而光是Collection #1本身就涵盖了各式类型账号,如左侧树状目录所列,涵盖像是比特币类型,或者是游戏账号,也有归纳来自美国、欧洲,以及俄国的账号资料。
虽然SBU逮捕他的名义与Collection #1有关,但根据威胁情报资料公司Intel 471告诉Kreb On Security,Sanix被逮捕的原因,恐怕和他现在正忙于销售各式帐密资料,让客户能远程访问大型组织的遭黑资源有关。例如,这名掮客就在本月初兜售全球近50间大学访问资料,还有美国圣贝纳迪诺政府的VPN账号等。