據(jù)英國(guó)《衛(wèi)報(bào)》消息1月17日，澳大利亞網(wǎng)絡(luò)安全專家TroyHunt透露，在黑客網(wǎng)站新發(fā)現(xiàn)一組被入侵登錄詳細(xì)信息，包含大約7.73億個(gè)電子郵件地址和密碼存儲(chǔ)。

這可謂是歷史上已發(fā)現(xiàn)的最大數(shù)據(jù)泄漏事件，在12月中旬被發(fā)布到一個(gè)流行的黑客論壇，包含了超過(guò)7.73億的電子郵件地址和密碼。這大約87GB數(shù)據(jù)轉(zhuǎn)儲(chǔ)是由安全研究員Troy Hunt發(fā)現(xiàn)的，他負(fù)責(zé)管理Have I Been Pwned(簡(jiǎn)稱：HIBP)違規(guī)通知服務(wù)。Hunt稱數(shù)據(jù)集#1，它說(shuō)它可能“由數(shù)千種不同來(lái)源的不同的個(gè)人數(shù)據(jù)泄露組成了數(shù)據(jù)集#1”，這代表不是由單一黑客竊取一個(gè)非常大的服務(wù)獲得的。將以前的數(shù)據(jù)泄漏拼湊起來(lái)的已經(jīng)產(chǎn)生了這個(gè)巨大的數(shù)據(jù)集，總共有1,160,253,228個(gè)電子郵件地址和密碼的獨(dú)特組合，21,222,975個(gè)獨(dú)特密碼。

[[255956]]

大多數(shù)電子郵件地址都出現(xiàn)在以前黑客共享的泄漏中，如2008年被攻擊的3.6億MySpace帳戶或2016 年被侵入的1.64億LinkedIn帳戶，研究人員說(shuō)：“這個(gè)泄漏中有140萬(wàn)個(gè)電子郵件地址，HIBP從未見(jiàn)過(guò)”。這些電子郵件地址則可能來(lái)自一個(gè)大型未報(bào)告的數(shù)據(jù)泄露或許多較小的數(shù)據(jù)泄露亦或兩者的組合。

安全專家表示，數(shù)據(jù)集#1的發(fā)現(xiàn)為消費(fèi)者提供了警示，消費(fèi)者需要使用密碼管理器(如1Password或LastPass等)為他們使用的每項(xiàng)服務(wù)存儲(chǔ)隨機(jī)，唯一的密碼。ESET UK的網(wǎng)絡(luò)安全專家杰克摩爾說(shuō)：“過(guò)去十年間，如果沒(méi)有電子郵件地址或其他個(gè)人信息遭到破壞，這絕非易事。如果你是那些認(rèn)為不會(huì)發(fā)生在你身上的人之一，那么它可能事實(shí)就已經(jīng)存在了。密碼管理應(yīng)用程序現(xiàn)在被廣泛接受，并且比以前更容易集成到其他平臺(tái)。另外，可以幫助您為所有不同的網(wǎng)站和應(yīng)用生成完全隨機(jī)的密碼。如果您對(duì)密碼管理器的安全性提出質(zhì)疑，那么使用密碼管理器比使用相同的三個(gè)密碼肯定更安全。”

[[255957]]

Hunt則警告說(shuō)：“這種數(shù)據(jù)集的主要用途是‘憑證填充’攻擊，充分利用密碼管理器防止密碼重用。人們會(huì)把這些包含我們的電子郵件地址和密碼的列表放在一起，然后嘗試查看他們的工作地點(diǎn)等。這種攻擊方法的成功取決于人們?cè)诙喾N服務(wù)上重復(fù)使用相同的憑證?；蛟S你很久以前就已經(jīng)忘記了很久以前就已經(jīng)注冊(cè)了一個(gè)論壇，但是你的個(gè)人數(shù)據(jù)在這個(gè)列表中，由于它后來(lái)被泄漏而你一直在使用相同的密碼，你已經(jīng)處在一個(gè)安全風(fēng)險(xiǎn)中了。”