揭秘暗网网站“DogeQuest”：利用ParkMobile泄露数据锁定特斯拉车主，反马斯克阴谋浮出水面

三月底，“暗网下/AWX”曾经报道暗网网站“DogeQuest”针对特斯拉车主和埃隆·马斯克的盟友进行开盒人肉，并曝光了数千名特斯拉车主的个人信息。许多人想知道“DogeQuest”怎么得到如此多特斯拉车主信息的？根据数据隐私组织ObscureIQ的分析，这些数据似乎是从2021年ParkMobile遭受大规模入侵后被窃取的约2100万用户数据中筛选出的。

ParkMobile是一款在北美提供停车支付服务的移动和网络应用程序。该公司总部位于佐治亚州亚特兰大，用户可以通过智能手机上的应用程序、网络浏览器或拨打电话号码支付路边和路外停车费用。ParkMobile还提供体育场或音乐会和体育赛事场地以及大都市区域车库的停车位预订服务。

名为“DogeQuest”于今年3月首次出现，发布与特斯拉司机和DOGE员工相关的姓名、家庭住址、联系方式和其他个人信息。该平台被宣传为反马斯克“抗议创意表达”的中心，但与现实世界的破坏行为有关，并且仍然活跃在暗网上。《纽约邮报》近日首次报道称，美国警方对DogeQuest的调查已经开始。

“如果你想要一辆特斯拉，用喷漆罐释放你的艺术天赋，那就走出去吧——不需要地图！在DOGEQUEST，我们相信可以激发创造性的抗议表达，让你足不出户就能实现，”DogeQuest的暗网网站写道，“DOGEQUEST既不支持也不谴责任何行为。”

数据隐私组织ObscureIQ对前期泄露的数据进行了分类，并确定用于填充DogeQuest网站的记录中有98.2%与受2021年ParkMobile泄密事件影响的个人相匹配。

DogeQuest最初是一个表网的人肉搜索的网站，鼓励破坏特斯拉汽车，并显示大约1700人的姓名、地址、联系方式，有时甚至显示就业信息。根据ObscureIQ的分析，该网站使用窃取的ParkMobile记录以及从经纪人处购买的数据，标记出车辆登记资料中列出拥有特斯拉汽车的任何车主。

该平台目前通过.onion暗网地址以“DogeQuest Unleashed”的名称运营，还公布了高价值目标的个人信息，包括高级军官、联邦雇员和硅谷私营部门高管。DOGE员工及其家人在整个数据中都占据着显著位置。

目前还没有其他报道将DogeQuest与ParkMobile数据泄露事件直接联系起来，ParkMobile是一款流行的停车应用程序，该公司为全美各地的无现金停车提供便利，在2021年的数据泄露事件暴露了约2100万用户的个人信息，包括客户电子邮件地址、电话号码、车牌详细信息、散列密码，在某些情况下还包括邮寄地址。ParkMobile于当年4月悄悄披露了这一数据泄露事件，承认“基本用户信息”已被访问。ObscureIQ的研究表明，电子邮件地址、车牌号和电话号码——与商业数据经纪人配对后足以进行身份​​三角定位。

该公司同意支付3280万美元的和解金，以解决因数据泄露而引发的集体诉讼。诉讼称ParkMobile未能保护其亚马逊网络服务云存储，导致数据被访问。尽管据报道支付卡信息和社会安全号码没有被泄露，但原告认为，暴露的数据仍然给受影响的用户带来了重大的隐私风险——这一说法现在因DogeQuest开盒活动而得到证实。

尽管受到联邦政府的关注，但事实证明该网站很难保持离线状态，因为暗网镜像采用了匿名托管方法，这使得执法部门的打击工作受挫。

上周，美国司法部指控三名嫌疑人涉嫌在多个州对特斯拉汽车、充电站和经销店进行人身攻击，但司法部尚未公开证实这些嫌疑人与DogeQuest有任何联系。与此同时，联邦调查局承认，它正在“积极开展”人肉搜索活动，同时应对影响DOGE附属公司的骚扰事件。

2021年ParkMobile数据泄露事件详情

亚马逊云的AWS S3存储桶是云计算中的常用工具。它是一种可扩展且安全的数字存储解决方案，允许企业存储大量数据并高效地访问这些数据以供其应用程序使用。但是，与任何存储系统一样，其安全性在很大程度上取决于正确的配置和监控。

在针对ParkMobile的存储桶入侵中，攻击者获得了包含约2100万ParkMobile用户的个人信息的S3存储桶的访问权限。泄露的数据包括车牌号、电子邮件地址、电话号码，有时还包括邮寄地址。尽管ParkMobile确认没有支付信息或社会安全号码被泄露，但被访问的数据带来了重大风险，例如网络钓鱼攻击和身份盗窃。

ParkMobile不存储用户明文密码，而是存储一种相当强大的单向密码哈希算法bcrypt的输出，这种算法比MD5等常见替代方案更耗费资源且破解成本更高。从ParkMobile窃取并出售的数据库包括每个用户的bcrypt哈希。

此次入侵很可能是由于与云存储相关的常见漏洞造成的。一个常见的问题是配置错误，即访问控制设置不正确。例如，S3存储桶可能会无意中向公众开放，允许任何拥有正确URL的人查看或下载其内容。即使应用了访问控制，弱凭证或泄露的访问密钥也可能为攻击者提供立足点。