上周，Have I Been Pwned (HIBP) 创始人 Troy Hunt 发布了一篇博客，介绍他收到一位匿名研究人员的邮件，邮件中包含一组全新的数据集。这些数据集通常被称为"combolist"，包含电子邮件地址或用户名和密码的组合，用于撞库攻击以获得对帐户的未授权访问。该数据集由 1,748 个文件和 20 亿行组成，公开了 1.51 亿个以前未在服务中列出的电子邮件地址，数据来自 518 个不同的小飞机频道，大小差异很大，有些文件包含数千万行。其最大的文件似乎是信息窃取恶意软件（Info stealers）的结果，这些 Zeus-like 的恶意软件在受感染的机器上大规模捕获密码。Hunt 通过邮件联系 HIBP 订阅者确认被盗密码是否正确，验证了这批 combolists 泄露准确性。

小黑屋对相关 combolists 数据集进行了分析，以下是我们对这批数据的分析结果：