安全研究人员发现一个暴露21M密码和773M电子邮件地址的数据转储

Troy Hunt是澳大利亚安全专家，负责管理Have I Been Pwned - 这是目前存在的最大，最全面的数据泄露通知服务。除其他事项外，他的工作是收集在黑客攻击事件中被盗的电子邮件和密码，如果他们受到影响通知他的订阅者，并让每个人看看他们的登录凭据是否已被暴露。

周日，他发布了一条推文，引起了信息安全界的一些骚动。

你知道数据泄露是很大的... pic.twitter.com/rtWMdq0Cpt

- 特洛伊亨特（@troyhunt） ，2019年1月13日

对于那些不知道他在做什么的人，屏幕截图显示他正在处理一个大型数据转储，并试图找出其中有多少记录。该错误表明该数字太大而无法转换为带符号的32位整数。换句话说，它大于2,147,483,647。后来证明，数据转储共包含2,692,818,238条记录。

超过7.7亿个独特的电子邮件地址被曝光

谢天谢地，这不是受影响的人数甚至是电子邮件帐户。正如Hunt在他的博客文章中指出的那样，黑客很少会以易于使用的方式解决组织数据转储的麻烦。整理完毕后，他的最终邮件地址不到7.73亿。它远不及27亿，但它仍然是一个相当大的数字。事实上，这是Troy Hunt曾经有过的最大数量的电子邮件地址。还有几个密码。

泄露了超过2000万个唯一密码

电子邮件地址本身并不是很有用。然而，当它们与密码结合时，事情变得非常危险。 Troy Hunt数据库正在查看包含超过2100万个唯一密码。此数字不包括看起来像SQL语句的密码和散列格式的密码。这些只是明文密码。

为什么存在这种数据转储？

直到你深入了解细节，你才能理解Troy Hunt为了以可搜索的格式组织所有数据所做的工作。整个转储包含超过2千个单独的文件，重量超过87 GB。 Hunt 在Pastebin上发布了这些文件的名称，一旦你了解它们，你就会发现，也许并不奇怪，用户名和密码并非来自单个数据泄露。

实际上，几乎每个文件都代表着涉及来自世界各地的各种在线服务的单独事件。有人花时间把所有这些漏洞放在一个大堆里。

他们这样做是因为像这样的大型数据库正是您想要组织大规模，成功的凭证填充攻击所需要的 。凭证填充攻击意味着尝试从一个网站上窃取的用户名和密码对与其他网站相对. 因为很多人在互联网上重复使用相同的密码 ，所以凭证填充攻击往往非常成功。事实上，这是用户目前面临的最大威胁之一，这是重新考虑您的密码管理习惯的一个很好的理由。

可怕的一点

凭证填充是一个大问题，不仅仅是因为人们重复使用密码。这次袭击也很容易实现。正如Troy Hunt所提到的，您只需要一个自动化工具和一个用户名和密码的数据转储来发起攻击。这些都非常容易获得。

获取自动凭证填充工具是通过几个黑客论坛运行的问题，甚至在YouTube上有演示视频告诉您如何使用它们。更重要的是，Have I Been Pwned中加载的数据库Hunt并未托管在黑暗网络的最黑暗的角落。他从云托管平台MEGA下载了它，并将其链接“发布到一个着名的公共论坛”。所有人都需要得到它是一个互联网连接。你想知道真正可怕的部分吗？

该数据库被命名为“Collection ＃1 ”。