近期,一名资安专家经营的网站收到了全球遭到外洩或窃取的资料,包含高达20亿笔电子邮件地址及13亿笔密码。经专家证实资料真实可信,他已将这些资料放上网站,让使用者可自行查询是否受害,只要输进电子邮件或密码,就能立即知道自己的帐号是否外洩。
根据PCWorld报导,资安专家特洛伊・亨特(Troy Hunt)经营的网站「Have I Been Pwned」(HIBP),近日收到来自多个恶意名单与网路资源的庞大资料,共包含20亿笔电子邮件与13亿笔密码,这些资料由安全公司Synthient从多起外洩事件中整理而成。
亨特在部落格中表示,他亲身验证资料真实性时,输进自己的名字,竟找到90年代使用过的旧信箱及部分真实密码。他也邀请多位用户进行测试,有人发现早已弃用的密码,有人则惊见最近仍在使用的帐号资料。亨特指出,部分资料可追溯至数十年前,另一些则相当新,显示外洩事件的时间跨度极广。
亨特提醒,骇客经常利用所谓的「撞库/凭据填充攻击」(Credential stuffing)手法,透过尝试不同帐密组合进侵帐号。由于很多人长期不更改密码,即使是老旧资料也可能被重複利用。若密码过于简单,例如「12345」、生日或姓名等,更轻易被快速破解。
目前,亨特已将这些密码资料上传至「Pwned Passwords」资料库。使用者可直接前往HIBP网站输进电子邮件或密码检查是否外洩,网站不会记录任何个资。例如输进「Fido123」后,若出现红字,即代表该密码曾在外洩事件中出现过数次,建议立即更换密码;若显示绿色,则表示该密码目前尚未被发现外洩。
亨特最后表示,这项资料验证与整理工作极为繁重且24小时一元一分麻将群本钱高昂,他们已尽力确保资料完整与可查询性,同时保护使用者隐私。他夸大:「我们希看大家不要只关心资料是否外洩,更应该採取行动来保护帐号安全。」他建议民众使用密码治理器、设定强而唯一的密码,或在可能的情况下使用「密码金钥」,并开启多因素身份验证(MFA),以降低遭骇风险。
全球20亿笔电子信箱、13亿笔密码遭外洩! 快用这招检查
TVBS新闻网
