就在朋友圈沉浸在“啥是佩奇”的宣傳片，狂刷臥槽的時(shí)候，2019年第一波數(shù)據(jù)泄露來(lái)了。

2019年1月17日, 網(wǎng)絡(luò)安全研究員 Troy Hunt 發(fā)表了一篇名為”The 773 Million Record “Collection #1” Data Breach”的博文，針對(duì)他發(fā)現(xiàn)的 MEAG (網(wǎng)盤(pán)服務(wù))上存在的87G帳號(hào)密碼數(shù)據(jù)進(jìn)行了一些分析。

Hunt在博客中表示，一周前他在MEGA網(wǎng)盤(pán)上發(fā)現(xiàn)了一個(gè)包含1.2萬(wàn)個(gè)獨(dú)立文件、共87GB大小的文件集。這些似乎是超過(guò)2000個(gè)數(shù)據(jù)庫(kù)的合并。而且，數(shù)據(jù)庫(kù)中包含已“dehashed”的密碼。也就是說(shuō)，將明文密碼加密成不可讀字符串的手段已遭破解，這些密碼完全暴露。

Hunt表示，這些數(shù)據(jù)包含了約11.6億個(gè)獨(dú)立的賬號(hào)、密碼組合，總共構(gòu)成了27億個(gè)可用于撞庫(kù)(credential stuffing)攻擊列表的組合。其中總共有1160253228條電子郵件地址和密碼的獨(dú)特組合。但這些數(shù)據(jù)中并不都是完全有效的數(shù)據(jù)，也有一些是沒(méi)有良好處理的無(wú)效的電子郵件格式。

不重復(fù)的電子郵件地址共計(jì)772904991條，不重復(fù)的密碼數(shù)據(jù)共計(jì)21222975條。

消息一傳來(lái)，博客上的網(wǎng)友們速速前來(lái)圍觀，底下的人有老神在在稱(chēng)又有7億人要收到勒索軟件的，也有哀嘆收到了一個(gè)查詢泄露網(wǎng)站的郵件，說(shuō)自己的郵箱在泄露類(lèi)別里面的，還有說(shuō)還好自己不用 MEAG的。

有意思的是，作為這些數(shù)據(jù)的發(fā)現(xiàn)者 Troy Hunt，也在其中發(fā)現(xiàn)了自己過(guò)去曾經(jīng)使用過(guò)的密碼，他表示他曾經(jīng)遭遇過(guò)多次數(shù)據(jù)泄漏，而導(dǎo)致了他的這些數(shù)據(jù)被收集到了。

目前，這些數(shù)據(jù)已經(jīng)被導(dǎo)入到了 Have I Been Pwned(HIBP), HIBP 是 Troy Hunt 于2013年12月4日創(chuàng)建的一個(gè)能讓用戶檢查電子郵件是否受數(shù)據(jù)泄露影響的網(wǎng)站，此次也成為了 HIBP 有史以來(lái)最大的一筆數(shù)據(jù)。

針對(duì)用戶密碼泄漏的問(wèn)題，這里有一些良性密碼使用策略，比如：

安裝病毒防護(hù)軟件;

定期修改密碼;

避免密碼的相似性;

避免密碼具有實(shí)際含義的單詞或短語(yǔ);

保證密碼的長(zhǎng)度至少15位左右，并且包含數(shù)字/字母/特殊符號(hào);

同時(shí)也可以在一些公開(kāi)的泄漏信息自查網(wǎng)站進(jìn)行泄漏自查

原報(bào)告地址：https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

參考來(lái)源：360CERT

雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))雷鋒網(wǎng)雷鋒網(wǎng)