凭证兜售网站WeLeakInfo的2.4万名客户资料被骇客公开了

一名代号为Pompompurin的骇客本周在资料外泄论坛上，兜售骇客市集WeLeakInfo的用户资料，可想而知，WeLeakInfo的用户以骇客为主，而且Pompompurin宣称是因为WeLeakInfo用来处理Stripe付款事宜的那个网域名称租约到期了，他只是接手注册了该网址，就得到所有资料了。

WeLeakInfo曾是最热门的凭证兜售网站之一，该站提供1万个外泄数据库，内含120亿笔的个人纪录，从人名、电子邮件账号、使用者名称、电话号码到网络服务密码等，而且采用订阅制，让使用者搜寻该站的数据库，只要2美元就能试用24小时，但该站的网域名称在去年1月遭到FBI扣押，且现在还在扣押状态。

而Pompompurin所注册到的网址，则是WeLeakInfo专门处理Stripe用户付款的另一个网站，也许是FBI错失了这个网站，或者是WeLeakInfo的管理员忘了续约，总之它的租约过期了，而让Pompompurin有机可趁。当初WeLeakInfo还允许用户以Paypal或比特币付款，但此一网站只存放了Stripe用户资讯，并未含有以Paypal或比特币付款的用户资讯。

根据资安部落格Krebs on Security的报导，Pompompurin所兜售的数据库内含2.4万名WeLeakInfo用户资讯，包括姓名、电子邮件账号、IP地址、实际地址、电话号码、所支付的款项，以及部分的信用卡资料。而且已有论坛用户证实自己的资讯就在该数据库中。

WeLeakInfo用户应该担心的是，该数据库若落到执法机关手上将会带来法律上的麻烦，若是落到其他骇客手上则可能会遭到勒索。