3千个数据泄露事件2亿独立账户8千多万数据 赶紧看看是否有你的?

安全研究人员Troy Hunt发现了近3,000个新 数据泄露 事件中的2亿独立用户账户,其中包含8000多万条明文记录,并将其添加到了“ Have I Been Pwned ”(HIBP)中。由于 数据量比较大,目前它被HIBP网站列为第15大数据泄露。 每条记录都包含一个电子邮件地址和明文密码,但整个列表还处于“未验证”的数据泄露列表中。文末提供了新版查询工具,赶紧来看看是否有你的密码?

https://haveibeenpwned.com/PwnedWebsites#2844Breaches

这些记录是否属于新的数据泄露事件? 不好说。

亨特开始寻找最近由Hacked-DB发现的大量登录证书。数据泄露通告公司告诉HackRead,它“发现了3,000个数据库,其中包含2亿个独立用户帐户,其中包含世界各地与组织和个人有关的所有电子邮件地址,潜在的个人身份信息,潜在的财务帐户,唯一的IP地址,唯一的帐户标识符以及其他高度敏感的信息。“

Hunt在存档中的2,889个文本文件的单个ZIP文件中发现了8.8GB的数据泄露。 在查找到泄漏的数据库清单后,Hunt 解释说他试图找出有多少新数据库。如果它们来自已经在HIBP中列出的任何已有的数据泄露事件,就会被过滤掉。

然后我从剩余的数据中抓取了一组独特的地址,并随机测试了其中的1万个地址,与HIBP进行比对。 其中只有70%已经在系统中,这表明有很多新的数据;

我以前从未见过的地址有30%。 当然,在我之前看到的那些数据泄露中仍然有很多地址不在HIBP中,并且这些地址只是不止一次地被使用,但对系统的检查也给了我一个机会,多一点数据源进行清理。

https://www.troyhunt.com/ive-just-added-2844-new-data-breaches-with-80m-records-to-have-i-been-pwned/

第二轮清理后找到了800多万独立邮件地址

亨特说,经过另一轮清理后,我将数据精简到2,844个文件,其中包含总共80,115,532个唯一的电子邮件地址。“

这是就是我目前得到的数据,我们正在谈论的,在我所未曾见过的(所谓的)数据泄露行为中出现的数千万人。但我也意识到,我不能清楚地说“你就出现在这些数据泄露事件中”,因为HIBP中的帐户与源文件之间没有直接关联。但是,我可以列出这些源文件,希望它能帮助那些可能识别他们过去使用过的服务的人。

在添加免责声明之前,亨特包括完整列表:

从这篇文章中应该可以清楚地看到,但是让我明确地说明一下吧:我不知道有多少是合法的,有多少是正确的,有多少是完全正确的。 因此,我已经将HIBP中的这一“数据泄露”标记为未经验证。

有些人正在获得HIBP通知,提醒他们他们的电子邮件和密码组合已经在网络中传播。不幸的是,这种情况下的通知,并不直接与证书所在的特定站点或服务相关联。 在备注信息中,“John Doe” 提示到 2,844个URL列表中包含2017年12月发布的“列表条目”。

除非您重复使用密码,否则此次数据泄露的消息可能不会对您有太大帮助。 如果那是你,那么你可能想要搜索你的密码是否在Pwned Passwords中列出。

Pwn发布了第二版Passwords查询工具

上周,亨特宣布了新版本的PWNED密码 ,更新后它包含超过500百万个密码- 501636842个PWNED密码。 用户可以搜索,以查看他们的密码是否在以前暴露的数据库中。 “Cloudflare,privacy and k-Anonymity”下的部分介绍了在检查密码时如何保持匿名。

https://haveibeenpwned.com/Passwords

由于开发人员也可以通过API连接到Pwned密码,因此1Password集成该工具仅需要一天的时间。

通过1Password查找密码

当AgileBits 宣布新功能时,该公司重申,除非它是私密和安全的,否则它绝不会增加检查密码是否泄露的功能。密码“永远不会发送给我们或他的服务。”

拥有1Password成员资格的用户可以登录他们的账户,点击Open Vault中的列表,“输入幻想键盘序列Shift-Control-Option-C(或Windows上的Shift + Ctrl + Alt + C)来解锁poc, “然后”单击密码旁边的“检查密码”按钮。“

至于它是如何工作的,AgileBits写道:

首先,1Password使用SHA-1散列您的密码。 但是将完整的SHA-1散列发送到服务器将提供太多信息,并可能允许某人重建您的原始密码。 相反,Troy的新服务只需要40个字符散列的前五个字符。

要完成该过程,服务器将发回一个泄漏密码哈希列表,这些哈希以相同的五个字符开头。 1Password然后在本地比较此列表以查看它是否包含密码的完整散列。 如果有匹配,那么我们知道这个密码是已知的,应该改变。

在未来的某个时候,AgileBits打算增加检查密码守卫的密码的能力,“这样你就可以在每天使用的1Password应用程序中看到你的密码。”

相关文章请参看

Imgur数据泄露 170万个电子邮件账户和密码被窃

LeakedSource.com官网运营人员被捕 用大家泄露的数据非法盈利24万多美元

本文由:csoonline 发布,版权归属于原作者。

分享本文至:


发布时间:2018-3-16 9:03 Friday
  • 版权声明:除非注明,文章均为【石家庄东轩seo博客】原创,欢迎转载!转载请注明本文地址,谢谢!

  • 作者:石家庄东轩seo博客

    东轩,IT专业,主攻网站前端设计制作方面以及seo,sem技术。要做就做最好的seo,sem博客

    返回列表
    上一篇:
    下一篇:

    发表评论

    快捷回复: