過去我們曾經報道過不少知名網站洩漏了用戶個人資料的事件,在這些看似無關的「個別事件」如果將洩漏出來的資料整理、組合,原來是可以還原出數量龐大的重要個人資料。最近提供免費確認帳戶資料有沒有被洩漏的網站「 Have I Been Pwned (HIBP) 」的營運者,網絡保安研究學者 Troy Hunt 就發表了一項驚人消息,指包含約 7 億 7300 萬個電郵地址的個人資料,被人放到黑市討論區上公開。
Tony Hunt 表示,有關資料是在雲端服務 MEGA 被發現的,是一個包含 12,000 個檔案的檔案集,容量超過 87GB ,他將這檔案集名為 Collection #1 ,行數達到 26 億 9281 萬行。經過整理之後,發現 7 億 7300 萬個不重覆電郵地址和約 2,122 萬個不重覆密碼,如果將電郵地址與密碼組合起來,就可拼出 11 億 6,025 個組合。可見過去被洩漏的資料數量是何等驚人。雖然這些資料經已在 MEGA 被刪除,不過如果這些資料已經被駭客取得,很有可能會用在暴力破解上。
大家可以到 HIBP 網站輸入電郵地址,來查看有沒有被洩漏。如果發現電郵地址曾經被洩漏的話,就會列出在哪裡曾經洩露有關資料。除此之外, HIBP 還另外有一個查看密碼有沒有被公開的網頁服務,不過筆者就不建議大家將自己的密碼隨便拿到不明網站做所謂的「測試」了,因為風險太大。可能 Troy 自己也明白大家對輸入密碼來測試有疑慮,所以也將全部密碼清單公開讓大家下載回來自己測試。雖然 HIBP 沒有將電郵與密碼進行配對在一起,不過一旦發現密碼曾被洩漏,已經代表它可能會出現在用來破解密碼的配對表上,已經說不上是安全密碼,大家應避免使用。
Have I Been Pwned (HIBP) 網站:按此
© 2020 Plug Media Services Limited. All Rights Reserved. [n3]