您的个人数据是在黑暗网络上出售的6.2亿个账户中的一部分吗？

620 Million Records For Sale On The Dark Web

如果您想从16个不同的网站上窃取超过6.17亿个账户记录，您需要什么？我们有一个令人惊讶的具体答案。您需要一个互联网连接，价值约16,000美元的比特币，以及硬盘上43GB的免费存储空间。

这些数据在Dream Market上出售 - 一个黑暗的网络市场，任何拥有Tor浏览器的人都可以访问。在线IT杂志The Register是第一个报道细节的人。

Table of Contents

提供什么？

再一次，答案非常具体。这是一个总结：

从名为Dubsmash的视频消息应用程序中窃取了1.61亿条记录。记录包括用户名，电子邮件地址，用户ID，用户的居住国家和SHA256哈希密码。
从500px （一个在线摄影社区）窃取的记录不到1500万。受损数据包括用户名，电子邮件地址，名字和姓氏，出生日期，哈希盐以及使用MD5，SHA512或bcrypt进行过哈希处理的密码。
来自另一个摄影师在线平台EyeEm的记录略多于2230万。大多数记录包含电子邮件地址和SHA1哈希密码。
从健康和健身应用8fit中提取的记录不到2020万条。数据包括IP，名称，电子邮件地址，Facebook身份验证令牌以及来自连接的Facebook帐户的信息，个人用户的居住国家以及bcrypt-hashed密码。
有1600万条记录属于Fotolog ，另一个是摄影师的社交网络。转储包含名称，安全问题和答案，电子邮件地址，SHA256哈希密码和其他配置文件信息。
超过2500万条记录从Animoto手中被盗， Animoto是一个创建视频的平台。记录包括名字和姓氏，电子邮件地址，居住国家，出生日期，哈希盐和SHA256哈希密码。
来自在线家谱平台MyHeritage的有超过9200万条记录被盗。数据包括创建受感染帐户的日期，电子邮件地址，SHA1哈希密码和哈希盐。
来自Under Armour拥有的健身应用程序MyFitnessPal盗取了超过1.51亿条记录。每条记录包含一个IP地址，一个用户ID，一个用户名，一个电子邮件地址，一个为整个表修复的salt，以及一个SHA1哈希密码。
从艺术收藏家的在线中心Artsy窃取了100万条记录。记录包括名称，电子邮件和IP地址，位置以及带盐的SHA512哈希密码。
来自Armor Games的 1100万条记录被盗，这是一个基于浏览器的游戏网站。数据包括用户名，电子邮件地址，出生日期，SHA1哈希密码和盐，以及其他配置文件详细信息。
来自Bookmate的电子订阅服务的800万条记录。大多数记录包含各种配置文件详细信息，用户名，电子邮件地址和带盐的SHA512哈希密码。
来自约会网站CoffeeMeetsBagel的不到620万条记录。大多数记录包含姓名，电子邮件地址，注册日期，SHA256哈希密码和其他帐户详细信息。
从DataCamp窃取的70万条记录，这是一个在线教育平台，供想要学习数据科学和编程的人们使用. 被盗数据包括电子邮件地址，bcrypt-hashed密码和其他个人资料详细信息。
来自HauteLook的 2800万条记录被盗，这是一家销售服装和珠宝的电子商务企业。记录包含名称，电子邮件地址和bcrypt-hashed密码。
从ShareThis中提取的4100万条记录，这是一个浏览器和博客平台的小部件，可以更轻松地共享内容。数据包含姓名，用户名，电子邮件地址，出生日期和其他个人资料信息以及DES哈希密码。
从Whitepages （在线电话和地址目录）窃取的记录不到1800万条。数据包括使用SHA1或bcrypt进行哈希处理的名字和姓氏，电子邮件地址和密码。

大多数数据库显然是在2018年获得的，它们可以单独购买，价格从不到50美元到2000美元不等。卖家说有人已经购买了Dubsmash数据。

没有人知道大多数违规行为

我们过去曾谈到一些黑客攻击事件多年来一直未被发现，上面描述的数据宝库证明了这一点。在所有遭到破坏的供应商中，只有MyFitnessPal ， MyHeritage和Animoto去年披露了泄露的数据。其余的要么不知道这些事件，要么故意将它们包裹起来。

现在，这一切都曝光了。在The Register的报告于周一发布后不久，500px开始重置用户的密码，从那时起， EyeEm和DataCamp也开始通知受影响的帐户所有者。当The Register联系时，一些供应商表示他们需要更多时间进行调查才能发布公告。

凭证填充者的梦想

希望所有受影响的各方能够尽早做他们需要做的事情，因为任何人都不会怀疑数据是否有效并可以使用。用户名和密码非常适合凭证填充攻击，部分原因在于它们有很多，部分原因是它们相对较新。泄密收藏品最近引起了不少关注，因为它们所包含的数据量非常庞大而引起了很多关注。但是，由于这些数据转储中的用户名和密码在几年前被盗，因此其中许多都是无用的。由于这些最近的违规行为，提取有效凭据的可能性要大得多。

这部分是由于供应商的密码存储习惯。正如您所看到的，它们都没有以明文形式存储密码. 然而，许多人使用弱哈希算法，但这并不是很好。

MD5和SHA1可以相对容易地破解，甚至更复杂的算法如SHA256也可能被证明是易受攻击的，特别是如果实现不完美或密码不足。理论上，密码用bcrypt进行哈希处理的人应该是安全的，但即使是选择正确算法的供应商也会敦促用户更改密码。