官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据CyberNews 6月8日消息,一位用户在某黑客论坛上发布了一个100GB 的txt文件,其中包含84亿条密码。根据推测,这些密码可能是之前泄露事件的数据集合。
这将是有史以来最大的密码泄露事件。据帖子作者称,泄露的所有密码长度都是6-20个字符,非ascii字符和空格都被删除。该作者还声称文件中包含820亿条密码。然而,在Cybernes测试后发现,实际的数字仅为宣称的十分之一——84亿条。
此次泄露数据的汇编集合被论坛用户们称为 "RockYou2021",这种命名方式是根据RockYou2009得来。2009年,攻击者入侵了社交应用网站RockYou的服务器,窃取了超过3200万个以纯文本形式存储的用户密码。
而此次泄露的数据量是12年前多的262倍,甚至可以与有史以来规模最大的数据泄露汇编COMB相提并论(注:2021年2月,一个包含30亿条密码的汇编合集COMB被发布在网上,这些密码由以往多次用户数据违规泄露事件汇编而成)。
此次RockYou2021的密码中也包含COMB泄露的32亿条密码,以及其他多个泄露数据库的密码。据了解,该汇编是由该系列的幕后人员在过去几年里积累的。
需要注意的是,全球互联网用户只有47亿,RockYou2021汇编的密码可能包括全球所有网民的密码,甚至是该数字的两倍。因此,CyberNews建议用户立即检查自己的密码是否泄露。
CyberNews正将RockYou2021的密码条目上传至检查器中,方便用户自查。
如果将这84亿条数据和其他包含用户名和电子邮件地址的漏洞汇编结合起来,攻击者可以利用密码字典和密码喷洒攻击(password spraying attacks),攻击数量不计其数的在线账户。
考虑到大多数人会在多个应用程序和网站上使用相同的密码,因此在这次泄密事件中,受凭证填充和密码喷洒攻击影响的账户数量可能达到数百万,甚至数十亿。
因此,CyberNews建议用户考虑使用密码管理器或强密码生成器;在所有帐户上启用双重身份验证(2FA);同时不点击任何可疑邮件或钓鱼短信。