数据泄露爱好者Troy Hunt 最近几天对他的“Have I Been Pwned(HIBP)”网站进行了大幅更新,增加了一组包含8,844起数据泄露事件的数据集,涉及8,000万个被盗记录,并介绍了他的历史泄露密码查询服务“Pwned Passwords”的第二版。

HIBP 是一个专门披露数据泄漏事件和帮助用户确认自己的密码是否泄露的账号安全网站,由软件架构师、微软最有价值专家Troy Hunt创建,这个网站聚合了众多在数据泄露事件中被泄露的账号信息。

在2017年8月,Hunt推出名为“Pwned Passwords”的历史泄漏密码查询服务,用户可以通过输入某个密码来验证它是否曾经遭到过泄露,或者直接下载整个库来保护自己的账号体系。

新的数据集来自一个在线黑客论坛,它是由数据分析机构Hacked-DB发现的,Hacked-DB在上周向国外知名媒体HackRead 通报了他们的发现。

Hacked-DB表示,他们发现了3000个数据库,其中包含2亿个独立的帐户,泄露的信息包括:电子邮箱地址、个人身份信息(PII)、财务账户以及IP地址等。

其中绝大多数数据库在之前未被检测到,泄露的文件总大小为9GB。这些数据的创建时间横跨2011年到今天的2018年,其中涉及很多明文密码以及密码散列(Password Hash)。大量的事实表明,这些密码散列同样可以被还原为密码本身。

在2月26日发表的博客文章中,Hunt表示他将数据精简到了2,844个文件,并从中提取到了80,115,532个唯一的电子邮箱地址,而几乎所有文件中都包含有电子邮箱地址和纯文本密码。

Hunt还表示,他在对作为单个ZIP文件分发的doxxed数据进行的检查后确定,在列出的唯一电子邮箱地址中约有34%是他的HIBP网站之前所没有的。而其余的66%则是在之前就已经被发现的受害者,包括那些受Dropbox和Lifeboat数据泄露事件影响的受害者。

目前,Hunt和Hacked-DB都在线公布了被泄露数据库的完整列表。Hunt暂时将这个数据集标识为“未经证实”,因为他还无法确定有多少记录是合法的,有多少是虚假的,又或者有多少是真实的。他正在将一些记录与以前的违规事件中发现的记录进行匹配,以确保这个数据集的可信度。

另外,在上周四,Hunt宣布带来他的历史泄露密码查询服务“Pwned Passwords”的第二版。在线搜索的方法与第一版完全相同,结果的显示也是如此。用户只需要输入自己的密码,点击查询就可以及时了解到该密码的相关信息。

对于这次升级,Hunt将数据集从3.2亿个密码增加到了超过5.016亿个,这密码来自在2017年8月发生的Onliner SpamBot 7.11亿电子邮箱账号泄露事件以及美国网络情报技术公司4iQ在2017年12月份发现的一个包含的14亿个登录凭证、文件大小达到41GB的数据库。

Hunt希望,他的服务能够让用户了解到哪些密码曾在数据泄露事件中出现过、哪些密码属于弱密码、哪些密码最容易被盗,使得用户在注册在线服务帐户或者某些应用程序账户时,能够保持更高的安全意识。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。