您的個人數據是在黑暗網絡上出售的6.2億個賬戶中的一部分嗎?

620 Million Records For Sale On The Dark Web

如果您想從16個不同的網站上竊取超過6.17億個賬戶記錄,您需要什麼?我們有一個令人驚訝的具體答案。您需要一個互聯網連接,價值約16,000美元的比特幣,以及硬盤上43GB的免費存儲空間。

這些數據在Dream Market上出售 - 一個黑暗的網絡市場,任何擁有Tor瀏覽器的人都可以訪問。在線IT雜誌The Register是第一個報導細節的人。

提供什麼?

再一次,答案非常具體。這是一個總結:

  • 從名為Dubsmash的視頻消息應用程序中竊取了1.61億條記錄。記錄包括用戶名,電子郵件地址,用戶ID,用戶的居住國家和SHA256哈希密碼。
  • 500px (一個在線攝影社區)竊取的記錄不到1500萬。受損數據包括用戶名,電子郵件地址,名字和姓氏,出生日期,哈希鹽以及使用MD5,SHA512或bcrypt進行過哈希處理的密碼。
  • 來自另一個攝影師在線平台EyeEm的記錄略多於2230萬。大多數記錄包含電子郵件地址和SHA1哈希密碼。
  • 從健康和健身應用8fit中提取的記錄不到2020萬條。數據包括IP,名稱,電子郵件地址,Facebook身份驗證令牌以及來自連接的Facebook帳戶的信息,個人用戶的居住國家以及bcrypt-hashed密碼。
  • 有1600萬條記錄屬於Fotolog ,另一個是攝影師的社交網絡。轉儲包含名稱,安全問題和答案,電子郵件地址,SHA256哈希密碼和其他配置文件信息。
  • 超過2500萬條記錄從Animoto手中被盜, Animoto是一個創建視頻的平台。記錄包括名字和姓氏,電子郵件地址,居住國家,出生日期,哈希鹽和SHA256哈希密碼。
  • 來自在線家譜平台MyHeritage的有超過9200萬條記錄被盜。數據包括創建受感染帳戶的日期,電子郵件地址,SHA1哈希密碼和哈希鹽。
  • 來自Under Armour擁有的健身應用程序MyFitnessPal盜取了超過1.51億條記錄。每條記錄包含一個IP地址,一個用戶ID,一個用戶名,一個電子郵件地址,一個為整個表修復的salt,以及一個SHA1哈希密碼。
  • 從藝術收藏家的在線中心Artsy竊取了100萬條記錄。記錄包括名稱,電子郵件和IP地址,位置以及帶鹽的SHA512哈希密碼。
  • 來自Armor Games的 1100萬條記錄被盜,這是一個基於瀏覽器的遊戲網站。數據包括用戶名,電子郵件地址,出生日期,SHA1哈希密碼和鹽,以及其他配置文件詳細信息。
  • 來自Bookmate的電子訂閱服務的800萬條記錄。大多數記錄包含各種配置文件詳細信息,用戶名,電子郵件地址和帶鹽的SHA512哈希密碼。
  • 來自約會網站CoffeeMeetsBagel的不到620萬條記錄。大多數記錄包含姓名,電子郵件地址,註冊日期,SHA256哈希密碼和其他帳戶詳細信息。
  • DataCamp竊取的70萬條記錄,這是一個在線教育平台,供想要學習數據科學和編程的人們使用. 被盜數據包括電子郵件地址,bcrypt-hashed密碼和其他個人資料詳細信息。
  • 來自HauteLook的 2800萬條記錄被盜 ,這是一家銷售服裝和珠寶的電子商務企業。記錄包含名稱,電子郵件地址和bcrypt-hashed密碼。
  • ShareThis中提取的4100萬條記錄,這是一個瀏覽器和博客平台的小部件,可以更輕鬆地共享內容。數據包含姓名,用戶名,電子郵件地址,出生日期和其他個人資料信息以及DES哈希密碼。
  • Whitepages (在線電話和地址目錄)竊取的記錄不到1800萬條。數據包括使用SHA1或bcrypt進行哈希處理的名字和姓氏,電子郵件地址和密碼。

大多數數據庫顯然是在2018年獲得的,它們可以單獨購買,價格從不到50美元到2000美元不等。賣家說有人已經購買了Dubsmash數據。

沒有人知道大多數違規行為

我們過去談到一些黑客攻擊事件多年來一直未被發現,上面描述的數據寶庫證明了這一點。在所有遭到破壞的供應商中,只有MyFitnessPalMyHeritage和Animoto去年披露了洩露的數據。其餘的要么不知道這些事件,要么故意將它們包裹起來。

現在,這一切都曝光了。在The Register的報告於週一發布後不久,500px開始重置用戶的密碼,從那時起, EyeEmDataCamp也開始通知受影響的帳戶所有者。當The Register聯繫時,一些供應商表示他們需要更多時間進行調查才能發佈公告。

憑證填充者的夢想

希望所有受影響的各方能夠儘早做他們需要做的事情,因為任何人都不會懷疑數據是否有效並可以使用。用戶名和密碼非常適合憑證填充攻擊,部分原因在於它們有很多,部分原因是它們相對較新。 洩密收藏品最近引起了不少關注,因為它們所包含的數據量非常龐大而引起了很多關注。但是,由於這些數據轉儲中的用戶名和密碼在幾年前被盜,因此其中許多都是無用的。由於這些最近的違規行為,提取有效憑據的可能性要大得多。

這部分是由於供應商的密碼存儲習慣。正如您所看到的,它們都沒有以明文形式存儲密碼. 然而,許多人使用弱哈希算法,但這並不是很好。

MD5和SHA1可以相對容易地破解,甚至更複雜的算法如SHA256也可能被證明是易受攻擊的,特別是如果實現不完美或密碼不足。理論上,密碼用bcrypt進行哈希處理的人應該是安全的,但即使是選擇正確算法的供應商也會敦促用戶更改密碼。

在黑暗網絡上銷售的個人數據的價格

有時,可以通過Google訪問的公共互聯網論壇上找到大量的個人信息。如您所見,在其他情況下,數據在黑暗網絡上出售。

但這並不是很貴。這些數據庫中的一些記錄包含大量個人信息,但單個記錄的平均價格為0.00002美元。在您下次註冊新服務時考慮這一點。

February 19, 2019

發表評論