“收藏”數據洩漏影響更多密碼:現在總數達到22億
兩千個文件,87 GB,不到27億條記錄。這就是網絡安全專家特洛伊·亨特(Troy Hunt)在他的一位粉絲向他指出一個大型敏感信息數據庫時所面臨的問題。在仔細分析和消毒數據之後,亨特發現這些數字並不是那麼龐大。總共有7.73億個唯一的電子郵件地址和大約2100萬個唯一密碼。即便如此,這仍然是澳大利亞研究人員見過的最大數據轉儲。更令人擔憂的是,該數據庫被稱為“ 集合#1 ”,表明可能存在“集合#2”。事實證明,“集合#2”確實存在。和'Collection#3','Collection#4'和'Collection#5'一樣。
Table of Contents
看起來很糟糕
這一次,特洛伊·亨特並沒有首先得到四個“收藏品”。來自德國Hasso-Plattner研究所(HPI)的研究人員對他們進行了分析, Heise Online (德語鏈接)是第一個報告調查結果的人。根據Wired的說法,這次我們還討論了大約250億條記錄中的845 GB數據。在五個集合之間,總共有22億個電子郵件地址和相關密碼。
壞消息並不止於此。關於Collection#1最令人恐懼的事情之一就是它的易用性。其他四個“收藏”也不例外。 HPI研究人員在MEGA文件託管平台上發現了它們,當有線安全專家Chris Rouland看看它們時,他通過擁有130個播種機的洪流獲得了它們,並且已經下載了1000多次。
換句話說,所有這些電子郵件地址和密碼都是公開的。你只需要正確的鏈接和一點耐心來獲得它們。
好消息(ish)
就像第一次轉儲一樣,我們不是在談論單一的黑客事件。顯然,有人遇到了在未知數量的漏洞中洩露數據並將其全部放在一個大數據庫中的麻煩。
沒有人知道哪些提供商洩露了這些信息,但有線認為大多數憑證現在已經很老了,因此無效。他們認為,幾年前,聰明的黑客竊取他們並濫用他們,之後他們的潛在貨幣價值下降。最終,他們最終免費轉手,現在,他們都被收集在一個地方。然而,沒有人願意為他們付錢這一事實並不意味著他們毫無價值。
轉儲仍然可能助長詐騙和網絡攻擊
電子郵件地址和密碼的年齡不應該讓我們陷入虛假的安全感. 許多用戶根本沒有改變密碼的習慣,有些用戶採用輪換機制,這意味著密碼重用仍然是一個問題。
更重要的是,當詐騙者去年開始使用舊密碼發送sextortion電子郵件時,許多人認為用戶會發現差異並且不會陷入荒謬的要求。最終,受到驚嚇的受害者最終向欺詐者支付了數百萬美元的比特幣。
儘管年齡很大,但憑證很容易獲得,並且它們不花費一分錢,這使得它們非常適合那些既沒有資金也沒有資源來組成複雜攻擊的騙子。而且你會驚訝於那裡有多少這樣的人。
Troy Hunt尚未將數據加載到他的HaveIBeenPwned服務中,但您可以使用HPI的Identity Leak Checker檢查您的電子郵件是否包含在五個集合中。