安全研究人員發現一個暴露21M密碼和773M電子郵件地址的數據轉儲
Troy Hunt是澳大利亞安全專家,負責管理Have I Been Pwned - 這是目前存在的最大,最全面的數據洩露通知服務。除其他事項外,他的工作是收集在黑客攻擊事件中被盜的電子郵件和密碼,如果他們受到影響通知他的訂閱者,並讓每個人看看他們的登錄憑據是否已被暴露。
週日,他發布了一條推文,引起了信息安全界的一些騷動。
你知道數據洩露是很大的... pic.twitter.com/rtWMdq0Cpt
- 特洛伊亨特(@troyhunt) ,2019年1月13日
對於那些不知道他在做什麼的人,屏幕截圖顯示他正在處理一個大型數據轉儲,並試圖找出其中有多少記錄。該錯誤表明該數字太大而無法轉換為帶符號的32位整數。換句話說,它大於2,147,483,647。後來證明,數據轉儲共包含2,692,818,238條記錄。
Table of Contents
超過7.7億個獨特的電子郵件地址被曝光
謝天謝地,這不是受影響的人數甚至是電子郵件帳戶。正如Hunt在他的博客文章中指出的那樣,黑客很少會以易於使用的方式解決組織數據轉儲的麻煩。整理完畢後,他的最終郵件地址不到7.73億。它遠不及27億,但它仍然是一個相當大的數字。事實上,這是Troy Hunt曾經有過的最大數量的電子郵件地址。還有幾個密碼。
洩露了超過2000萬個唯一密碼
電子郵件地址本身並不是很有用。然而,當它們與密碼結合時,事情變得非常危險。 Troy Hunt數據庫正在查看包含超過2100萬個唯一密碼。此數字不包括看起來像SQL語句的密碼和散列格式的密碼。這些只是明文密碼。
為什麼存在這種數據轉儲?
直到你深入了解細節,你才能理解Troy Hunt為了以可搜索的格式組織所有數據所做的工作。整個轉儲包含超過2千個單獨的文件,重量超過87 GB。 Hunt 在Pastebin上發布了這些文件的名稱,一旦你了解它們,你就會發現,也許並不奇怪,用戶名和密碼並非來自單個數據洩露。
實際上,幾乎每個文件都代表著涉及來自世界各地的各種在線服務的單獨事件。有人花時間把所有這些漏洞放在一個大堆裡。
他們這樣做是因為像這樣的大型數據庫正是您想要組織大規模,成功的憑證填充攻擊所需要的 。憑證填充攻擊意味著嘗試從一個網站上竊取的用戶名和密碼對與其他網站相對. 因為很多人在互聯網上重複使用相同的密碼 ,所以憑證填充攻擊往往非常成功。事實上,這是用戶目前面臨的最大威脅之一,這是重新考慮您的密碼管理習慣的一個很好的理由。
可怕的一點
憑證填充是一個大問題,不僅僅是因為人們重複使用密碼。這次襲擊也很容易實現。正如Troy Hunt所提到的,您只需要一個自動化工具和一個用戶名和密碼的數據轉儲來發起攻擊。這些都非常容易獲得。
獲取自動憑證填充工具是通過幾個黑客論壇運行的問題,甚至在YouTube上有演示視頻告訴您如何使用它們。更重要的是,Have I Been Pwned中加載的數據庫Hunt並未託管在黑暗網絡的最黑暗的角落。他從雲託管平台MEGA下載了它,並將其鏈接“發佈到一個著名的公共論壇”。所有人都需要得到它是一個互聯網連接。你想知道真正可怕的部分嗎?
該數據庫被命名為“Collection #1 ”。