史上信息量最大資料庫在線曝光！14億明文密碼正在暗網流通

黑客總是喜歡通過破解最薄弱的環節，來快速獲取訪問你在線賬戶的許可權。一般來說，在線用戶都習慣在多個服務中重複使用相同的密碼，而正是這一不良習慣使得攻擊者有機會從之前泄漏的數據中收集到登陸憑證，然後輕鬆地訪問我們其他的在線賬戶。

近日，來自網路安全公司4iQ的研究人員發現，在暗網（也發布在了Torrent上）中出現了一個新的資料庫，其中包含14億明文形式的用戶名和密碼。

4iQ公司創始人兼首席技術官Julio Casal在一篇博客文章中指出，12月5日在地下社區論壇上發現的資料庫，堪稱是有史以來在暗網中發現的最大的集合資料庫。

雖然關於該資料庫的下載鏈接在過去幾周就已經在暗網中流傳，但是近日有人將該鏈接發布到了Reddit上，我們根據鏈接下載了一個副本，接下來就可以驗證一下該資料庫的真實性。

研究人員表示，根據上圖所示，這個文件大小累計超過41Gb的資料庫中包含14億個用戶名、電子郵件以及密碼組合等信息，其中的用戶名和密碼均以明文形式存儲，並未採取任何形式的加密。

從日誌文件可以看出，該資料庫仍在不斷更新，最後一組數據更新時間是在2017年11月底，但並不是來自新的違規行為產生的數據，而是來自252個之前發生過的數據泄漏和憑證列表合集。

該集合資料庫中包含從Bitcoin、Pastebin、LinkedIn、MySpace、Netflix、YouPorn、Last.FM、Zoosk、Badoo、RedBox以及遊戲平台（Minecraft和Runescape等）泄漏的數據，以及Anti Public，http://Exploit.in泄漏的憑證列表。

Casal表示，

在該資料庫中，我們發現沒有任何密碼是加密的。而且更可怕的是，我們對其中一個密碼子集進行了測試後發現，其中大部分密碼被證實是真實有效的。這次數據泄漏的規模幾乎是『上一次最大的登陸憑證泄漏事件』的兩倍，當時是http://Exploit.in泄漏了7.97億條憑證記錄。另外，這次泄漏事件中還有3.85億個新增加的登錄憑證，以及3.18億獨立用戶名和1.47億個獨立密碼。

研究人員分析發現，該資料庫還按照字母順序整齊排列並編入了索引，以便具有基礎知識的黑客能夠快速地搜索到相應地密碼數據。例如，在測試中，研究人員使用「admin」、「administrator」以及「root」來進行搜索，結果僅在幾秒鐘內就返回了管理員使用的226,631個密碼。

研究人員表示，雖然資料庫中包含一些老舊數據，這些數據（如登陸憑證）已經在網上流傳了很長一段時間，但是由於用戶習慣在不同的平台上重複使用相同的密碼，這些密碼通常十分簡單，所以犯罪分子使用這些憑證訪問你其他平台的成功率仍然很高。

研究人員在分析資料庫時發現，最常見但安全性能最差的密碼是「123456」、「123456789」、「qwerty」、「password」和「111111」。

目前尚不清楚是誰將該資料庫上傳到了暗網之中，但是無論是誰，此次數據泄漏的規模勢必將帶來深遠的影響。為了保護自身安全，強烈建議您停止在多個平台重複使用相同密碼的不良行為，並始終為您的各種在線賬戶設置強大而複雜的密碼。如果對你來說，記住為不同平台創建的複雜密碼是件困難的事，建議你可以使用口碑較好的密碼管理器。

本文翻譯自：https://thehackernews.com/2017/12/data-breach-password-list.html ，http://securityaffairs.co/wordpress/66650/data-breach/1-4-billion-data-leak.html ，如若轉載，請註明原文地址： http://www.4hou.com/info/news/9291.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：