最近,Have I Been Pwned(HIBP) 網站創建者 Troy Hunt 發表名為The 773 Million Record “Collection #1” Data Breach 的文章,在 MEAG 網上硬碟雲端服務平台上的一個87GB的文件進行分析,發現一個包含1.2萬個獨立資料夾,共87GB大小的文件。當中竟然存在超過2000個數據庫的合併,而數據庫就有dehashed的密碼。簡單而言就是明文加密的不可讀字符,就被已經被破解完全流出了。
Troy Hunt 本身為網絡安全研究員,其表示這些數據包括約11.6億個獨立的賬號、密碼組合,總共構成了27億個可用於 credential stuffing 破解密文資料列表的組合,其中有1,160,253,228條更是電子郵件地址和密碼的獨特組合。幸好的是數據當中並非全部都是完全有效的數據,仍滲入不少仍未沒被完全破解的電子郵件格式。
現時在發現的87GB數據中,不重複的電子郵件共計772,904,991條,不重複的密碼數據共計21,222,975條。目前這些數據已經導入到了Have I Been Pwned(HIBP),這個 Troy Hunt 成立於2013年12月4日成立的網站,是旨在讓用戶通過電郵地址查詢,是否被洩露的數據庫。
多次用戶數據密碼被洩漏,其實是有方法減低風險的,當中包括安裝病毒防護軟件、定期改密碼、避免密碼的相似性、避免具有實際含義的密碼、保證密碼的長度至少15位左右,以及不嫌麻煩開啟兩步甚至三次的登入驗證等方式。
Have I Been Pwned:
https://haveibeenpwned.com/
來源:troyhunt