热门云存储服务 Mega 被曝发现超 87GB 电子邮件地址和密码泄露(源数据目前已被删除,但已流传到个别黑客网站),其中包含近 7.73 亿电子邮件地址和 2200 万密码。
近日,国外一名安全研究人员 Troy Hunt(很多人也会将他称为“数据泄露爱好者”)接到爆料,称热门云服务 Mega 上的大量文件被泄露,内含超过 12,000 个独立文件和 87GB 数据,这些数据目前很可能已流传到某黑客论坛。由于这 2,692,818,238 行数据有许多不同的用户和网站来源,因此黑客正在验证邮件地址和密码匹配程度。
图源:Troy Hunt
本次被暴露数据的根文件夹叫做 Collection#1,因此本次泄露也被用该名字命名。据悉,Troy Hunt 本人的数据就在泄露列表中,其本人证实为真实数据。他在博客中写道,这些数据可能不单单是某个电子邮件的当前密码,很可能包括用户之前使用的多个密码,这说明什么?
现在很多用户往往会准备多套密码,然后所有社交平台账户和电子邮件等全部用这几套密码搞定,一旦这些数据被泄露,多个平台均很容易被黑客攻击。
本次泄露的潜在风险
简单地说,本次泄露的主要是用户名和密码的组合,因为不少人也会用邮箱作为用户名。在这种情况下,这些数据有数亿种组合可能。换句话说,黑客会采用包含电子邮件地址和密码的列表,尝试登录其他网站或平台,这种方法的成功取决于人们在多个服务上重用相同凭证的习惯。或许,你的个人数据就在该列表中,但因为你忘记自己曾经注册过某个论坛,且一直使用相同的密码,很可能造成所有社交账号都被攻击。
对于黑客来说,只要通过一些自动化工具很快就可以得到一些破解结果。
在 Reddit 上,很多网友留言表示,虽然每次看到这类事件都很怕自己的数据被泄露,但从来没见过数据泄露列表,不知道从何查起,只能再次更改一堆密码。对此,Troy Hunt 在个人博客中给出了一些建议。
如何检测并预防密码泄露
Troy Hunt 在自己的博客上提供了一个名为 HIBP 的网站,这是他在 18 个月前建立的,该网站集合了众多泄露或者安全性较低的密码。根据 Troy Hunt 的检测,本次泄露的数据有 81.89% 与 HIBP 库不匹配,这也就意味着这些数据非常新。
该网站的具体操作方法是,用户在该平台输入想要设置的密码,平台会通过匹配结果对密码进行等级划分并给出详细信息,比如较强、强、弱、较弱等,也会告知此密码的被泄露情况。如果有人在其他地方使用了该密码(比如黑客),该平台也会向用户发出电话提醒。
国内很多网站在用户设置密码时也会给出相应评级,一般安全性较强的密码会包括英文大小写、数字和其他平台可识别的字符。
如果觉得挨个验证很麻烦,也可以选择一些不错的密码管理软件,比如 1Password Watchtower。1Password 是来自加拿大开发商 agilebits 的一款跨平台(Windows,Mac,Android,iPhone,iPad)密码管理应用,使用的是 AES(advanced encryption standard)256 位加密,而非 OpenSSL。1Password Watchtower 是该公司近日推出的新功能,可帮助鉴别容易遭受 Heartbleed 的网站并建议用户及时更改密码。
该软件使用方法很简单,用户只需要给 1Password 设置一个极其复杂并且要牢牢记住的主密码,然后,1Password 就可以帮用户记住每个网站的不同登陆密码,并且可以保证安全性。
据统计,该云存储服务平台去年也曾发生一起类似的数据泄露事件,当时的泄露文件包含超过 15500 条数据、密码和文件名。当时的分析人士认为数据应该不是由该平台直接泄露,而是被撞库所致。
2016 年,黑客曾声称通过利用其平台服务器中的安全漏洞获取了大量内部文档和与管理账户相关的电子邮件地址。虽然 Mega 当时的官方回复是未发现任何用户数据被破坏,但还是足以证明其平台存在一定安全问题。
参考链接: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
注册/登录 InfoQ 发表评论