您的个人数据是在黑暗网络上出售的6.2亿个账户中的一部分吗?

620 Million Records For Sale On The Dark Web

如果您想从16个不同的网站上窃取超过6.17亿个账户记录,您需要什么?我们有一个令人惊讶的具体答案。您需要一个互联网连接,价值约16,000美元的比特币,以及硬盘上43GB的免费存储空间。

这些数据在Dream Market上出售 - 一个黑暗的网络市场,任何拥有Tor浏览器的人都可以访问。在线IT杂志The Register是第一个报道细节的人。

提供什么?

再一次,答案非常具体。这是一个总结:

  • 从名为Dubsmash的视频消息应用程序中窃取了1.61亿条记录。记录包括用户名,电子邮件地址,用户ID,用户的居住国家和SHA256哈希密码。
  • 500px (一个在线摄影社区)窃取的记录不到1500万。受损数据包括用户名,电子邮件地址,名字和姓氏,出生日期,哈希盐以及使用MD5,SHA512或bcrypt进行过哈希处理的密码。
  • 来自另一个摄影师在线平台EyeEm的记录略多于2230万。大多数记录包含电子邮件地址和SHA1哈希密码。
  • 从健康和健身应用8fit中提取的记录不到2020万条。数据包括IP,名称,电子邮件地址,Facebook身份验证令牌以及来自连接的Facebook帐户的信息,个人用户的居住国家以及bcrypt-hashed密码。
  • 有1600万条记录属于Fotolog ,另一个是摄影师的社交网络。转储包含名称,安全问题和答案,电子邮件地址,SHA256哈希密码和其他配置文件信息。
  • 超过2500万条记录从Animoto手中被盗, Animoto是一个创建视频的平台。记录包括名字和姓氏,电子邮件地址,居住国家,出生日期,哈希盐和SHA256哈希密码。
  • 来自在线家谱平台MyHeritage的有超过9200万条记录被盗。数据包括创建受感染帐户的日期,电子邮件地址,SHA1哈希密码和哈希盐。
  • 来自Under Armour拥有的健身应用程序MyFitnessPal盗取了超过1.51亿条记录。每条记录包含一个IP地址,一个用户ID,一个用户名,一个电子邮件地址,一个为整个表修复的salt,以及一个SHA1哈希密码。
  • 从艺术收藏家的在线中心Artsy窃取了100万条记录。记录包括名称,电子邮件和IP地址,位置以及带盐的SHA512哈希密码。
  • 来自Armor Games的 1100万条记录被盗,这是一个基于浏览器的游戏网站。数据包括用户名,电子邮件地址,出生日期,SHA1哈希密码和盐,以及其他配置文件详细信息。
  • 来自Bookmate的电子订阅服务的800万条记录。大多数记录包含各种配置文件详细信息,用户名,电子邮件地址和带盐的SHA512哈希密码。
  • 来自约会网站CoffeeMeetsBagel的不到620万条记录。大多数记录包含姓名,电子邮件地址,注册日期,SHA256哈希密码和其他帐户详细信息。
  • DataCamp窃取的70万条记录,这是一个在线教育平台,供想要学习数据科学和编程的人们使用. 被盗数据包括电子邮件地址,bcrypt-hashed密码和其他个人资料详细信息。
  • 来自HauteLook的 2800万条记录被盗 ,这是一家销售服装和珠宝的电子商务企业。记录包含名称,电子邮件地址和bcrypt-hashed密码。
  • ShareThis中提取的4100万条记录,这是一个浏览器和博客平台的小部件,可以更轻松地共享内容。数据包含姓名,用户名,电子邮件地址,出生日期和其他个人资料信息以及DES哈希密码。
  • Whitepages (在线电话和地址目录)窃取的记录不到1800万条。数据包括使用SHA1或bcrypt进行哈希处理的名字和姓氏,电子邮件地址和密码。

大多数数据库显然是在2018年获得的,它们可以单独购买,价格从不到50美元到2000美元不等。卖家说有人已经购买了Dubsmash数据。

没有人知道大多数违规行为

我们过去谈到一些黑客攻击事件多年来一直未被发现,上面描述的数据宝库证明了这一点。在所有遭到破坏的供应商中,只有MyFitnessPalMyHeritage和Animoto去年披露了泄露的数据。其余的要么不知道这些事件,要么故意将它们包裹起来。

现在,这一切都曝光了。在The Register的报告于周一发布后不久,500px开始重置用户的密码,从那时起, EyeEmDataCamp也开始通知受影响的帐户所有者。当The Register联系时,一些供应商表示他们需要更多时间进行调查才能发布公告。

凭证填充者的梦想

希望所有受影响的各方能够尽早做他们需要做的事情,因为任何人都不会怀疑数据是否有效并可以使用。用户名和密码非常适合凭证填充攻击,部分原因在于它们有很多,部分原因是它们相对较新。 泄密收藏品最近引起了不少关注,因为它们所包含的数据量非常庞大而引起了很多关注。但是,由于这些数据转储中的用户名和密码在几年前被盗,因此其中许多都是无用的。由于这些最近的违规行为,提取有效凭据的可能性要大得多。

这部分是由于供应商的密码存储习惯。正如您所看到的,它们都没有以明文形式存储密码. 然而,许多人使用弱哈希算法,但这并不是很好。

MD5和SHA1可以相对容易地破解,甚至更复杂的算法如SHA256也可能被证明是易受攻击的,特别是如果实现不完美或密码不足。理论上,密码用bcrypt进行哈希处理的人应该是安全的,但即使是选择正确算法的供应商也会敦促用户更改密码。

在黑暗网络上销售的个人数据的价格

有时,可以通过Google访问的公共互联网论坛上找到大量的个人信息。如您所见,在其他情况下,数据在黑暗网络上出售。

但这并不是很贵。这些数据库中的一些记录包含大量个人信息,但单个记录的平均价格为0.00002美元。在您下次注册新服务时考虑这一点。

February 19, 2019

发表评论