编者按 2019年仅仅过去一个多月,网络安全世界就已经是血雨腥风了。一个月前的Collection #1事件,引发了#2-5。我等均未能幸免。 本文原作者:Troy hunt。 一个月前,我的收件箱和Twitter消息滴滴响个不停,一个据称是新的大约7.73亿个独立电子邮件地址和2100万个唯一密码被发布到黑客论坛。 英国“卫报”称其为“有史以来发现的最大数据集”。但记者在采访卖家时了解到,这个泄露的Collection #1集合,甚至没有接近最大的被盗数据集,而且它至少是两到三年前的老数据了。 标记为“Collection#1”且大小约为87GB的数据集,数据缓存很可能是由数千种不同来源的个人数据泄露组成的。 Hold Security的首席技术官霍尔顿表示,这些数据是在2018年10月首次发布到地下论坛,而且它只是暗网上某影子卖家兜售的更大密码集合的一部分。这是该卖家当前产品的一部分的屏幕截图,总共有近1TB的被盗和被黑客获取的密码: 87GB的“Collection#1”是许多类似的被盗密码之一,由臭名昭著的数据贩子ne'er-do-well出售 正如我们上面所看到的,这个卖家提供的Collection#1确实是87GB大小。他还公布了一个Telegram用户名, “Sanixer”。目前,Collection#1的价格也从45美元渐渐走低,截至2019年2月13日,“在线数据交易商店”上标价为25美元。 Sanixer说,Collection#1包含从大量黑客网站中提取的数据,并不完全是他的“最新鲜”产品。更确切地说,他引导我远离那些文件,并暗示- Collection#1至少有2~3年了。 Sanixer解释说,他还有其他密码包,并不是所有上面的屏幕截图,总尺寸超过4TB,都是“新裤子”。 给大家推荐个好玩的东东 长按二维码可以进入专属警察装备商店,还有免费装备可领取。 Sanixer解释道,Collection#1来源于Mega,这是一个很重要的“转储和泄漏基地”。然后他提供了一个有趣的屏幕截图。点击下面的图片,注意背后的Web浏览器标签(显然存储在Mega.nz中)。 Sanixer说Collection#1来自各种来源,可以在此屏幕截图左侧的目录树中查看这些源的说明 更令人震惊的是,推特上部分公开了下载链接。通过非常“狭窄”的渠道,用户居然可以免费获得这些数据。 因为数据是从许多漏洞中陆续收集的,通常是较旧的数据,因此不会对一般用户社区造成直接威胁。很多买家收集购买这些数据,主要用来钓鱼和勒索攻击,而不是窃取邮箱。它的庞大数量令人印象深刻,然而,更令人不安的是,太多的网民在多个网站选择较差密码,或者重复使用密码和电子邮件地址。这是一个非常不好的习惯。如果这个Collection#1让你感到害怕,请一定要及时修改自己的密码。 对于我们大多数人来说,到目前为止,最重要的密码是保护我们的电子邮件收件箱的密码。这是因为在几乎所有情况下,控制该电子邮件地址的人都可以重置与该电子邮件地址关联的任何服务或帐户的密码。仅通过电子邮件请求密码,就可以完成密码重置,你应该清楚这意味着什么。 一般来说,一个长而独特的密码短语比一个短而复杂的密码短语更为安全。不幸的是,许多网站不允许用户选择超过少量字符的密码,否则他们将允许长密码,但忽略在达到字符限制后输入的任何内容。 如果您是喜欢重复使用密码的人,那么建议您使用密码管理器,它可以帮助您选择并记住强大而独特的密码和密码短语。 【编者注】每次数据泄露事件发生后,总会有人“趁火打劫”。请不要相信所谓的“验证您的密码是否泄漏”服务,那可能是真的提供验证服务,但也可能在钓鱼。 |
|
|
