|
编者按 Have I Been Pwned是业界神一般的存在。他似乎总在提醒我们,网络安全问题无时无刻、无处不在。特别是最近的几个重磅安全事件发生后,很多事情将会变得更加无法控制。
2021年12月22日清晨,小编刚从睡梦中醒来,某公众号推送来一则消息“HIBP新增585亿个泄露密码”。小编也是见过世面的人,这么点数量,简直不值得一提。得益于近几年互联网安全事件频发,小编多年前认识的一位朋友(号称**的爸爸),他个人电脑中存储的数据,恐怕都不下这个数量的20倍。但是,消息又提到“超过5.85亿个被盗密码中有2.25 亿个被盗密码是新的和独特的”,这一点就很了不起了。下面,小编给大家笼统介绍一下这个神一般的存在:HIBP。HIBP是Have I Been Pwned的简称这是一群国外的网络安全爱好者发起的公益平台,他们的定位很明确,就是收集历次互联网安全事件中泄露的“用户名-密码”数据,积累起来,供大家访问,以验证自己的密码是否被泄露出去。网址是:https:///,因为人畜无害,所以至今没有被墙。网站首页很简单,使用起来更是方便,输入自己的
截至目前,这个平台已经收集积累数据11,721,252,754,百亿级别。对于近期刚刚收集到的泄露数据、来源巨大的泄露数据,还会在网上首页明确列出来。如下图所示。
笔者的好友Mike杨曾在某案件中有过一次奇特的经历,向大家简单介绍一下。甲有着比较严重的扭曲心理和报复社会的想法,在某网站上宣扬暴力和极端思想。为了尽快定位这名潜在的犯罪分子。有关部门的同志想了很多办法。幸运的是,该网站的后台用户库曾经被黑客“拖库”并在互联网上售卖,从中发现了这名用户使用的密码居然高达13位,其中还使用了英语单词、数字、特殊符号。但仅仅依靠这些信息,仍然无法落地此人的真实身份。再次幸运的是,某特大城市的公共服务网站亦曾经被“拖库”,从该库中居然找到了相同的密码,由于该公共服务网站上注册的用户信息都是比较详细的,很快就找到了地址、手机号码等信息,成功完成落地任务。因此,小编认为,密码越独特越危险。然而,把密码设置的很普通,如:123456、111111、aaaaaa就安全了吗?对此,小编不予置评。小编以自己的电子邮箱为例,查了查,居然在126、天涯社区、京东、网易、7k7k等6个平台被泄露。此等惨状,难以言表。毕竟,小编还是个业内人士,普通人呢,没有最惨、只有更惨。
能吸引的FBI寻求与之合作,没有两把刷子怎么能行?在小编看来,HIBP积累的数据远非百亿级别。这个数量大到——大家根本想象不到。2018年,小编曾经在此公号上公布过大概98亿用户名-密码数据的下载链接,可惜当时没人注意。随着Mega云的服务到期,这些数据也就无从找寻了。另外,HIBP对我国各大网站泄露数据的积累也从来没闲着,比如126邮箱、12306、携程、网易邮箱、新浪微博、QQ群、……。当然,大家也不要想当然的以为,你在互联网上搜索的数据都是有效的,随着我国多部法律的颁布,数据泄露的情况可能会更加隐蔽,但绝对不会消失。毕竟,当所有办法都失灵的时候,暴力穷举还是要有个靠谱的密码词典的。
不过HIBP还是给了我很多新的思考,下一步,我们或许可以考虑通过API给大家提供在线服务。如果大家感兴趣,可以联系本号共同探讨一下。
|
