史上最大数据泄露事件爆发,共计7.73亿个邮箱、2122万个密码被公开!

发布时间:2019-01-22 作者:昂楷科技

今天,据外媒Gizmodoo消息,

又一桩大规模的数据泄露事件遭到了曝光,

这起事件被描述为

“史上规模最大的公共数据泄露事件”


那么这个史上规模最大,究竟有多“大”呢?

一组数字大家感受一下

↓ ↓ ↓


这个存放着1.2万个独立文件、共87.18GB大小的文件集,

里面的数据包含了约11.6亿个独立的账号、密码组合。

(MEGA 网盘上的一个公开数据集,根文件夹名为 Collection #1)


HIBP安全研究员Troy Hunt对该数据进行整理后确定:

共有将近7.73亿个独立电子邮件地址、2122万多个独立密码泄露!


不仅如此,

数据库中包含了已“dehashed”的密码,

这说明将明文密码加密成不可读字符串的手段已遭破解,

这些密码已完全暴露!!!


更为可怕的是,

一个流行的黑客论坛PASTEBIN已在公开讨论该数据集 ↓

(此帖发布于1月13日,目前阅读量已突破60万+)


值得注意的是,此帖名为:

“List of 2,000+ (allegedly) hacked databases totalling 87.18G”

也就是说,所泄数据似乎是超过2000个数据库的合并!


细心的小楷仔细查阅了目录

发现所泄露数据跨度为2008-2018年

其中2017、2018年占大多数

由此可见,所泄数据还是非常新的


安全研究员Troy Hunt检查数据集后发现

自己的电邮地址和旧密码都在里面,而且是正确的。

(用户可以访问他的 Have I Been Pwned服务,查看自己的信息是否遭到泄露https://haveibeenpwned.com)


目前,该数据集已经被删除,

但从论坛的讨论数据中可以看出,数据已被

广!泛!流!传!

(小楷已在第一时间修改了邮箱密码)


若你的账号已遭到泄露,请立即更改密码!

此外,不使用重复密码、或启用双重身份验证,

也是避免账号密码数据泄露的重要方法。


这起史上最大数据泄露事件的原因虽还未知

但就这种规模的信息泄露来看。。。

互联网上的我们很可能正光着屁股裸奔!



由于大部分人在各大互联网平台均采用同一套用户名密码

(在不同的网站上使用不同的密码,不是每个人都能做到的 )

“一个密码走天下”的行为

极易提高黑客“撞库”的成功率

相当于给自己配了一把“万能钥匙”!


黑客拿到泄露的登录名、 密码后,

可生成对应的字典表,

通过尝试批量登陆其他网站,

进而获取一系列可以登陆的用户信息 

(此次泄露的11.6亿个独立的账号、密码组合,总共能构成27亿个可用于撞库攻击列表的组合! )


那么,应如何防“撞库”呢? 小楷提供以下思路:


1、用户在不同网站登录时使用相同的用户名和密码,就一般应用的登录操作都会生成一条对应的SQL语句,然后到数据库中去查询此账号和密码是否正确。


2、利用三层关联技术,审计应用到数据的操作,重点监控登录对应的操作语句,发现短时间内有不同的IP来登录且同一个IP会尝试用不同的账号来登录,而且登录失败(用户名不存在或者密码错误)的情况偏多,此时基本可判断有撞库攻击。


3、通过下发访问控制的规则到数据库防火墙上,以此阻断发现的可疑IP的登录操作,从而达到阻挡撞库攻击的效果。


最近国内外泄露事件频发,昂楷再次提醒各大网络运营商

及时升级数据安全防护手段,落实网络安全责任!


返回上一级

400-622-8990