“收藏”数据泄漏影响更多密码:现在总数达到22亿
两千个文件,87 GB,不到27亿条记录。这就是网络安全专家特洛伊·亨特(Troy Hunt)在他的一位粉丝向他指出一个大型敏感信息数据库时所面临的问题。在仔细分析和消毒数据之后,亨特发现这些数字并不是那么庞大。总共有7.73亿个唯一的电子邮件地址和大约2100万个唯一密码。即便如此,这仍然是澳大利亚研究人员见过的最大数据转储。更令人担忧的是,该数据库被称为“ 集合#1 ”,表明可能存在“集合#2”。事实证明,“集合#2”确实存在。和'Collection#3','Collection#4'和'Collection#5'一样。
Table of Contents
看起来很糟糕
这一次,特洛伊·亨特并没有首先得到四个“收藏品”。来自德国Hasso-Plattner研究所(HPI)的研究人员对他们进行了分析, Heise Online (德语链接)是第一个报告调查结果的人。根据Wired的说法,这次我们还讨论了大约250亿条记录中的845 GB数据。在五个集合之间,总共有22亿个电子邮件地址和相关密码。
坏消息并不止于此。关于Collection#1最令人恐惧的事情之一就是它的易用性。其他四个“收藏”也不例外。 HPI研究人员在MEGA文件托管平台上发现了它们,当有线安全专家Chris Rouland看看它们时,他通过拥有130个播种机的洪流获得了它们,并且已经下载了1000多次。
换句话说,所有这些电子邮件地址和密码都是公开的。你只需要正确的链接和一点耐心来获得它们。
好消息(ish)
就像第一次转储一样,我们不是在谈论单一的黑客事件。显然,有人遇到了在未知数量的漏洞中泄露数据并将其全部放在一个大数据库中的麻烦。
没有人知道哪些提供商泄露了这些信息,但有线认为大多数凭证现在已经很老了,因此无效。他们认为,几年前,聪明的黑客窃取他们并滥用他们,之后他们的潜在货币价值下降。最终,他们最终免费转手,现在,他们都被收集在一个地方。然而,没有人愿意为他们付钱这一事实并不意味着他们毫无价值。
转储仍然可能助长诈骗和网络攻击
电子邮件地址和密码的年龄不应该让我们陷入虚假的安全感. 许多用户根本没有改变密码的习惯,有些用户采用轮换机制,这意味着密码重用仍然是一个问题。
更重要的是,当诈骗者去年开始使用旧密码发送sextortion电子邮件时,许多人认为用户会发现差异并且不会陷入荒谬的要求。最终,受到惊吓的受害者最终向欺诈者支付了数百万美元的比特币。
尽管年龄很大,但凭证很容易获得,并且它们不花费一分钱,这使得它们非常适合那些既没有资金也没有资源来组成复杂攻击的骗子。而且你会惊讶于那里有多少这样的人。
Troy Hunt尚未将数据加载到他的HaveIBeenPwned服务中,但您可以使用HPI的Identity Leak Checker检查您的电子邮件是否包含在五个集合中。
