熱門雲存儲服務MEGA被曝發現超87GB電子郵件地址和密碼泄露(源數據目前已被刪除,但已流傳到個別黑客網站),其中包含近7.73億電子郵件地址和2200萬密碼。
近日,國外一名安全研究人員Troy Hunt(很多人也會將他稱爲“數據泄露愛好者”)接到爆料,稱熱門雲服務MEGA上的大量文件被泄露,內含超過12,000個獨立文件和87GB數據,這些數據目前很可能已流傳到某黑客論壇。由於這2,692,818,238行數據有許多不同的用戶和網站來源,因此黑客正在驗證郵件地址和密碼匹配程度。
圖源:Troy Hunt
本次被暴露數據的根文件夾叫做Collection#1,因此本次泄露也被用該名字命名。據悉,Troy Hunt本人的數據就在泄露列表中,其本人證實爲真實數據。他在博客中寫道,這些數據可能不單單是某個電子郵件的當前密碼,很可能包括用戶之前使用的多個密碼,這說明什麼?
現在很多用戶往往會準備多套密碼,然後所有社交平臺賬戶和電子郵件等全部用這幾套密碼搞定,一旦這些數據被泄露,多個平臺均很容易被黑客攻擊。
本次泄露的潛在風險
簡單地說,本次泄露的主要是用戶名和密碼的組合,因爲不少人也會用郵箱作爲用戶名。在這種情況下,這些數據有數億種組合可能。換句話說,黑客會採用包含電子郵件地址和密碼的列表,嘗試登錄其他網站或平臺,這種方法的成功取決於人們在多個服務上重用相同憑證的習慣。或許,你的個人數據就在該列表中,但因爲你忘記自己曾經註冊過某個論壇,且一直使用相同的密碼,很可能造成所有社交賬號都被攻擊。
對於黑客來說,只要通過一些自動化工具很快就可以得到一些破解結果。
在Reddit上,很多網友留言表示,雖然每次看到這類事件都很怕自己的數據被泄露,但從來沒見過數據泄露列表,不知道從何查起,只能再次更改一堆密碼。對此,Troy Hunt在個人博客中給出了一些建議。
如何檢測並預防密碼泄露
Troy Hunt在自己的博客上提供了一個名爲HIBP的網站,這是他在18個月前建立的,該網站集合了衆多泄露或者安全性較低的密碼。根據Troy Hunt的檢測,本次泄露的數據有81.89%與HIBP庫不匹配,這也就意味着這些數據非常新。
該網站的具體操作方法是,用戶在該平臺輸入想要設置的密碼,平臺會通過匹配結果對密碼進行等級劃分並給出詳細信息,比如較強、強、弱、較弱等,也會告知此密碼的被泄露情況。如果有人在其他地方使用了該密碼(比如黑客),該平臺也會向用戶發出電話提醒。
國內很多網站在用戶設置密碼時也會給出相應評級,一般安全性較強的密碼會包括英文大小寫、數字和其他平臺可識別的字符。
如果覺得挨個驗證很麻煩,也可以選擇一些不錯的密碼管理軟件,比如1Password Watchtower。1Password 是來自加拿大開發商 agilebits 的一款跨平臺(Windows,Mac,Android,iPhone,iPad)密碼管理應用,使用的是AES(advanced encryption standard)256位加密,而非OpenSSL。1Password Watchtower是該公司近日推出的新功能,可幫助鑑別容易遭受Heartbleed的網站並建議用戶及時更改密碼。
該軟件使用方法很簡單,用戶只需要給1Password設置一個極其複雜並且要牢牢記住的主密碼,然後,1Password就可以幫用戶記住每個網站的不同登陸密碼,並且可以保證安全性。
參考鏈接:https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/