据英国《卫报》消息1月17日,澳大利亚网络安全专家TroyHunt透露,在黑客网站新发现一组被入侵登录详细信息,包含大约7.73亿个电子邮件地址和密码存储。
这可谓是历史上已发现的最大数据泄漏事件,在12月中旬被发布到一个流行的黑客论坛,包含了超过7.73亿的电子邮件地址和密码。这大约87GB数据转储是由安全研究员Troy Hunt发现的,他负责管理Have I Been Pwned(简称:HIBP)违规通知服务。Hunt称数据集#1,它说它可能“由数千种不同来源的不同的个人数据泄露组成了数据集#1”,这代表不是由单一黑客窃取一个非常大的服务获得的。将以前的数据泄漏拼凑起来的已经产生了这个巨大的数据集,总共有1,160,253,228个电子邮件地址和密码的独特组合,21,222,975个独特密码。
大多数电子邮件地址都出现在以前黑客共享的泄漏中,如2008年被攻击的3.6亿MySpace帐户或2016 年被侵入的1.64亿LinkedIn帐户,研究人员说:“这个泄漏中有140万个电子邮件地址,HIBP从未见过”。这些电子邮件地址则可能来自一个大型未报告的数据泄露或许多较小的数据泄露亦或两者的组合。
安全专家表示,数据集#1的发现为消费者提供了警示,消费者需要使用密码管理器(如1Password或LastPass等)为他们使用的每项服务存储随机,唯一的密码。ESET UK的网络安全专家杰克摩尔说:“过去十年间,如果没有电子邮件地址或其他个人信息遭到破坏,这绝非易事。如果你是那些认为不会发生在你身上的人之一,那么它可能事实就已经存在了。密码管理应用程序现在被广泛接受,并且比以前更容易集成到其他平台。另外,可以帮助您为所有不同的网站和应用生成完全随机的密码。如果您对密码管理器的安全性提出质疑,那么使用密码管理器比使用相同的三个密码肯定更安全。”
Hunt则警告说:“这种数据集的主要用途是‘凭证填充’攻击,充分利用密码管理器防止密码重用。人们会把这些包含我们的电子邮件地址和密码的列表放在一起,然后尝试查看他们的工作地点等。这种攻击方法的成功取决于人们在多种服务上重复使用相同的凭证。或许你很久以前就已经忘记了很久以前就已经注册了一个论坛,但是你的个人数据在这个列表中,由于它后来被泄漏而你一直在使用相同的密码,你已经处在一个安全风险中了。