热门云服务超 87GB 电子邮箱和密码泄露,黑客已验证大部分数据
热门云存储服务 MEGA 被曝发现超 87GB 电子邮件地址和密码泄露(源数据目前已被删除,但已流传到个别黑客网站),其中包含近 7.73 亿电子邮件地址和 2200 万密码。
近日,国外一名安全研究人员 Troy Hunt(很多人也会将他称为“数据泄露爱好者”)接到爆料,称热门云服务 MEGA 上的大量文件被泄露,内含超过 12,000 个独立文件和 87GB 数据,这些数据目前很可能已流传到某黑客论坛。由于这 2,692,818,238 行数据有许多不同的用户和网站来源,因此黑客正在验证邮件地址和密码匹配程度。
图源:Troy Hunt
本次被暴露数据的根文件夹叫做 Collection#1,因此本次泄露也被用该名字命名。据悉,Troy Hunt 本人的数据就在泄露列表中,其本人证实为真实数据。他在博客中写道,这些数据可能不单单是某个电子邮件的当前密码,很可能包括用户之前使用的多个密码,这说明什么?
现在很多用户往往会准备多套密码,然后所有社交平台账户和电子邮件等全部用这几套密码搞定,一旦这些数据被泄露,多个平台均很容易被黑客攻击。
本次泄露的潜在风险
简单地说,本次泄露的主要是用户名和密码的组合,因为不少人也会用邮箱作为用户名。在这种情况下,这些数据有数亿种组合可能。换句话说,黑客会采用包含电子邮件地址和密码的列表,尝试登录其他网站或平台,这种方法的成功取决于人们在多个服务上重用相同凭证的习惯。或许,你的个人数据就在该列表中,但因为你忘记自己曾经注册过某个论坛,且一直使用相同的密码,很可能造成所有社交账号都被攻击。
对于黑客来说,只要通过一些自动化工具很快就可以得到一些破解结果。
在 Reddit 上,很多网友留言表示,虽然每次看到这类事件都很怕自己的数据被泄露,但从来没见过数据泄露列表,不知道从何查起,只能再次更改一堆密码。对此,Troy Hunt 在个人博客中给出了一些建议。
如何检测并预防密码泄露
Troy Hunt 在自己的博客上提供了一个名为 HIBP 的网站,这是他在 18 个月前建立的,该网站集合了众多泄露或者安全性较低的密码。根据 Troy Hunt 的检测,本次泄露的数据有 81.89% 与 HIBP 库不匹配,这也就意味着这些数据非常新。
该网站的具体操作方法是,用户在该平台输入想要设置的密码,平台会通过匹配结果对密码进行等级划分并给出详细信息,比如较强、强、弱、较弱等,也会告知此密码的被泄露情况。如果有人在其他地方使用了该密码(比如黑客),该平台也会向用户发出电话提醒。
国内很多网站在用户设置密码时也会给出相应评级,一般安全性较强的密码会包括英文大小写、数字和其他平台可识别的字符。
如果觉得挨个验证很麻烦,也可以选择一些不错的密码管理软件,比如 1Password Watchtower。1Password 是来自加拿大开发商 agilebits 的一款跨平台(Windows,Mac,Android,iPhone,iPad)密码管理应用,使用的是 AES(advanced encryption standard)256 位加密,而非 OpenSSL。1Password Watchtower 是该公司近日推出的新功能,可帮助鉴别容易遭受 Heartbleed 的网站并建议用户及时更改密码。
该软件使用方法很简单,用户只需要给 1Password 设置一个极其复杂并且要牢牢记住的主密码,然后,1Password 就可以帮用户记住每个网站的不同登陆密码,并且可以保证安全性。
参考链接:https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/