您的個人數據是在黑暗網絡上出售的6.2億個賬戶中的一部分嗎？

620 Million Records For Sale On The Dark Web

如果您想從16個不同的網站上竊取超過6.17億個賬戶記錄，您需要什麼？我們有一個令人驚訝的具體答案。您需要一個互聯網連接，價值約16,000美元的比特幣，以及硬盤上43GB的免費存儲空間。

這些數據在Dream Market上出售 - 一個黑暗的網絡市場，任何擁有Tor瀏覽器的人都可以訪問。在線IT雜誌The Register是第一個報導細節的人。

Table of Contents

提供什麼？

再一次，答案非常具體。這是一個總結：

從名為Dubsmash的視頻消息應用程序中竊取了1.61億條記錄。記錄包括用戶名，電子郵件地址，用戶ID，用戶的居住國家和SHA256哈希密碼。
從500px （一個在線攝影社區）竊取的記錄不到1500萬。受損數據包括用戶名，電子郵件地址，名字和姓氏，出生日期，哈希鹽以及使用MD5，SHA512或bcrypt進行過哈希處理的密碼。
來自另一個攝影師在線平台EyeEm的記錄略多於2230萬。大多數記錄包含電子郵件地址和SHA1哈希密碼。
從健康和健身應用8fit中提取的記錄不到2020萬條。數據包括IP，名稱，電子郵件地址，Facebook身份驗證令牌以及來自連接的Facebook帳戶的信息，個人用戶的居住國家以及bcrypt-hashed密碼。
有1600萬條記錄屬於Fotolog ，另一個是攝影師的社交網絡。轉儲包含名稱，安全問題和答案，電子郵件地址，SHA256哈希密碼和其他配置文件信息。
超過2500萬條記錄從Animoto手中被盜， Animoto是一個創建視頻的平台。記錄包括名字和姓氏，電子郵件地址，居住國家，出生日期，哈希鹽和SHA256哈希密碼。
來自在線家譜平台MyHeritage的有超過9200萬條記錄被盜。數據包括創建受感染帳戶的日期，電子郵件地址，SHA1哈希密碼和哈希鹽。
來自Under Armour擁有的健身應用程序MyFitnessPal盜取了超過1.51億條記錄。每條記錄包含一個IP地址，一個用戶ID，一個用戶名，一個電子郵件地址，一個為整個表修復的salt，以及一個SHA1哈希密碼。
從藝術收藏家的在線中心Artsy竊取了100萬條記錄。記錄包括名稱，電子郵件和IP地址，位置以及帶鹽的SHA512哈希密碼。
來自Armor Games的 1100萬條記錄被盜，這是一個基於瀏覽器的遊戲網站。數據包括用戶名，電子郵件地址，出生日期，SHA1哈希密碼和鹽，以及其他配置文件詳細信息。
來自Bookmate的電子訂閱服務的800萬條記錄。大多數記錄包含各種配置文件詳細信息，用戶名，電子郵件地址和帶鹽的SHA512哈希密碼。
來自約會網站CoffeeMeetsBagel的不到620萬條記錄。大多數記錄包含姓名，電子郵件地址，註冊日期，SHA256哈希密碼和其他帳戶詳細信息。
從DataCamp竊取的70萬條記錄，這是一個在線教育平台，供想要學習數據科學和編程的人們使用. 被盜數據包括電子郵件地址，bcrypt-hashed密碼和其他個人資料詳細信息。
來自HauteLook的 2800萬條記錄被盜，這是一家銷售服裝和珠寶的電子商務企業。記錄包含名稱，電子郵件地址和bcrypt-hashed密碼。
從ShareThis中提取的4100萬條記錄，這是一個瀏覽器和博客平台的小部件，可以更輕鬆地共享內容。數據包含姓名，用戶名，電子郵件地址，出生日期和其他個人資料信息以及DES哈希密碼。
從Whitepages （在線電話和地址目錄）竊取的記錄不到1800萬條。數據包括使用SHA1或bcrypt進行哈希處理的名字和姓氏，電子郵件地址和密碼。

大多數數據庫顯然是在2018年獲得的，它們可以單獨購買，價格從不到50美元到2000美元不等。賣家說有人已經購買了Dubsmash數據。

沒有人知道大多數違規行為

我們過去曾談到一些黑客攻擊事件多年來一直未被發現，上面描述的數據寶庫證明了這一點。在所有遭到破壞的供應商中，只有MyFitnessPal ， MyHeritage和Animoto去年披露了洩露的數據。其餘的要么不知道這些事件，要么故意將它們包裹起來。

現在，這一切都曝光了。在The Register的報告於週一發布後不久，500px開始重置用戶的密碼，從那時起， EyeEm和DataCamp也開始通知受影響的帳戶所有者。當The Register聯繫時，一些供應商表示他們需要更多時間進行調查才能發佈公告。

憑證填充者的夢想

希望所有受影響的各方能夠儘早做他們需要做的事情，因為任何人都不會懷疑數據是否有效並可以使用。用戶名和密碼非常適合憑證填充攻擊，部分原因在於它們有很多，部分原因是它們相對較新。洩密收藏品最近引起了不少關注，因為它們所包含的數據量非常龐大而引起了很多關注。但是，由於這些數據轉儲中的用戶名和密碼在幾年前被盜，因此其中許多都是無用的。由於這些最近的違規行為，提取有效憑據的可能性要大得多。

這部分是由於供應商的密碼存儲習慣。正如您所看到的，它們都沒有以明文形式存儲密碼. 然而，許多人使用弱哈希算法，但這並不是很好。

MD5和SHA1可以相對容易地破解，甚至更複雜的算法如SHA256也可能被證明是易受攻擊的，特別是如果實現不完美或密碼不足。理論上，密碼用bcrypt進行哈希處理的人應該是安全的，但即使是選擇正確算法的供應商也會敦促用戶更改密碼。