V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kersbal
V2EX  ›  信息安全

最新 Data Breach, 7 亿 7 千万条独立数据

  •  
  •   kersbal · 2019-01-18 05:15:00 +08:00 · 4875 次点击
    这是一个创建于 2137 天前的主题,其中的信息可能已经有所发展或是发生改变。

    消息来源: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

    来自 https://haveibeenpwned.com 的创始人

    大概总结一下:

    数据量

    初始数据有 26 亿条,经过整理后有 7 亿 7 千万个独立邮箱地址的邮箱密码组合,两千万条不重复密码

    其中密码有些 hash 了,有些是被黑客解出来的明文

    “ They're also ones that were stored as cryptographic hashes in the source data breaches (at least the ones that I've personally seen and verified), but per the quoted sentence above, the data contains "dehashed" passwords which have been cracked and converted back to plain text. ”

    截取到的文件显示这是一个很大的库,据说有 2000 多个网站:

    “ The post on the forum referenced "a collection of 2000+ dehashed databases and Combos stored by topic" and provided a directory listing of 2,890 of the files which I've reproduced here.”

    网站列表(据说)在这: https://pastebin.com/UsxU4gXA

    检查自己有没有中

    网页直接检查(需要输入邮箱或密码,不想直接输入密码的可以尝试下一种)

    https://haveibeenpwned.com/

    api

    有多种,介绍一种按 sha1 前几位来判断的

    https://haveibeenpwned.com/API/v2#SearchingPwnedPasswordsByRange

    sha1 加密你的密码,取前五位,用这个 api 可以找出前五位一样的已泄露的密码的 sha1,对比可以看到有没有自己的(在浏览器里直接把前面的 get 去掉输到地址栏里一样)

    备注

    一般这个网站会写明泄露的库是哪个网站的,但是这次估计比较复杂,所以用了 Collection #1 accounts 这个名字

    第 1 条附言  ·  2019-01-18 07:19:36 +08:00
    之前的数字有些歧义,这是原文里的:
    “ In total, there are 1,160,253,228 unique combinations of email addresses and passwords.”
    11 亿不重复的邮箱密码组合
    “ The unique email addresses totalled 772,904,991.”
    7 亿不重复的邮箱(有一邮箱多账号的情况)
    “ There are 21,222,975 unique passwords.”
    2 千万不重复的密码(有一密码多账号的情况)
    19 条回复    2019-01-18 22:49:38 +08:00
    huangdayu
        1
    huangdayu  
       2019-01-18 07:37:29 +08:00 via Android
    有 Google 和腾讯没?
    kersbal
        2
    kersbal  
    OP
       2019-01-18 07:39:42 +08:00
    @huangdayu 应该没有,至少我的几个大网站的账号没中,但中了个小网站,因为有些不重要的网站用的密码一样所以无从判断是哪个网站。。。
    everwanna
        3
    everwanna  
       2019-01-18 07:56:32 +08:00 via Android
    太可怕了,密码没有加盐,只用 hash 跟明文没多少区别
    kersbal
        4
    kersbal  
    OP
       2019-01-18 07:59:25 +08:00
    @everwanna 是,现在很多简单点的密码的 sha1 已经早被记录过了
    ansonsiva
        5
    ansonsiva  
       2019-01-18 08:00:43 +08:00 via iPhone
    难怪前两天有印度 ip 登陆我谷歌账号。。。
    everwanna
        6
    everwanna  
       2019-01-18 08:03:50 +08:00 via Android
    @kersbal 不只是简单点,10 位以内数字+字母,9 位的数字字母符合组合都有彩虹表直接反查了
    kersbal
        7
    kersbal  
    OP
       2019-01-18 08:05:06 +08:00
    @everwanna 太可怕了。。。
    kersbal
        8
    kersbal  
    OP
       2019-01-18 08:06:26 +08:00
    @ansonsiva Google 应该不在这里面。。。要不然新闻标题可能都会不一样。。。
    ansonsiva
        9
    ansonsiva  
       2019-01-18 08:24:14 +08:00 via iPhone
    @kersbal 别的网站的密码去登陆了谷歌应该是
    kersbal
        10
    kersbal  
    OP
       2019-01-18 08:28:35 +08:00
    @ansonsiva 那是有可能,看看能不能抓到笨鱼
    jisibencom
        11
    jisibencom  
       2019-01-18 09:42:30 +08:00 via Android
    126 的还是有,嘴很硬啊,死不承认
    yzkcy
        12
    yzkcy  
       2019-01-18 09:47:47 +08:00
    HIBP 的裤子绝大部分都是国外站的,国内的数据很多都查不到。
    saluton
        13
    saluton  
       2019-01-18 09:52:12 +08:00
    下载地址呢?
    dapang1221
        14
    dapang1221  
       2019-01-18 10:00:19 +08:00
    两个邮箱,一共 5 个 pwned ……深感绝望……
    kersbal
        15
    kersbal  
    OP
       2019-01-18 10:09:15 +08:00
    @saluton 想要看自己有没有中可以用文中方法,或下载 sha1 过的数据库 https://haveibeenpwned.com/Passwords (在页面底下)这里面就没有邮箱地址了,防止账户密码被对应上(因为不少不太复杂的密码已经可以 sha1 反查了,不算安全了)
    kersbal
        16
    kersbal  
    OP
       2019-01-18 10:11:24 +08:00
    @yzkcy 对,就算有,里面的国内数据他也都会说明一下很难确认。。。
    kersbal
        17
    kersbal  
    OP
       2019-01-18 10:13:19 +08:00
    @dapang1221 尽量用不同密码,防止被撞库,减少损失😔
    rojerchen95
        18
    rojerchen95  
       2019-01-18 14:37:46 +08:00
    我有 10 个...打扰了...
    kersbal
        19
    kersbal  
    OP
       2019-01-18 22:49:38 +08:00 via iPhone
    @rojerchen95 😢改密码吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2896 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:23 · PVG 20:23 · LAX 04:23 · JFK 07:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.