最近,一次數目龐大影響廣泛的資料洩露事件再次進入了公眾視野——該洩露資料集中包含7100萬個電子郵件地址、上億密碼憑據。
該洩露資料集名為Naz.API,最早是於去年9月20日在某個知名暗網論壇上公開,而此前似乎已在私人手中流傳了一段時間。該資料集總大小為104 GB,包含超過10億條記錄,其中約有7080萬個電子郵件地址(大多附有明文密碼)。
安全分析師Troy Hunt研究發現,其中約有35%的電子郵件地址(約2400萬個),不在Have I Been Pwned的資料庫中,據信以前從未被公開發現過。
Troy Hunt公佈的一張圖片顯示,洩露樣本的帳戶憑據涉及多個網站,包括Facebook、Roblox、Coinbase、Yammer和Yahoo。這些密碼以明文形式儲存,表明這些憑據更可能是由“stealer”(在受害者裝置上執行並上傳輸入到登入頁面的使用者名稱和密碼的惡意軟體)收集的說法相一致——那些攻擊網站竊取得到的帳戶憑據大都會經過加密雜湊處理。
Troy Hunt透過聯絡資料集中的一些電子郵件地址的賬號所有人來確認該資料集的真實性。這些受訪者回應稱,資料集上邊列出的憑據確實是(或者至少曾經是)準確的。Troy Hunt還檢查了一些憑據的樣本,確認這些電子郵件地址與受影響網站上的帳戶相關聯。
安全研究員建議,為確保賬號安全,最好養成良好的密碼衛生習慣,儘量使用密碼管理器、啟用雙因素身份驗證。據悉,最新的洩露資料集已新增到Have I Been Pwned的資料庫之中,可透過此連結檢視賬號是否存在安全風險:https://haveibeenpwned.com/
編輯:左右裡
資訊來源:haveibeenpwned、arstechnica
轉載請註明出處和本文連結