據CyberNews 6月8日消息,一位用戶在某黑客論壇上發佈了一個100GB 的txt文件,其中包含84億條密碼。根據推測,這些密碼可能是之前泄露事件的數據集合。
這將是有史以來最大的密碼泄露事件。據帖子作者稱,泄露的所有密碼長度都是6-20個字符,非ascii字符和空格都被刪除。該作者還聲稱文件中包含820億條密碼。然而,在Cybernes測試後發現,實際的數字僅為宣稱的十分之一——84億條。
此次泄露數據的匯編集合被論壇用戶們稱為 "RockYou2021",這種命名方式是根據RockYou2009得來。2009年,攻擊者入侵了社交應用網站RockYou的伺服器,竊取了超過3200萬個以純文本形式存儲的用戶密碼。
而此次泄露的數據量是12年前多的262倍,甚至可以與有史以來規模最大的數據泄露匯編COMB相提並論(註:2021年2月,一個包含30億條密碼的匯編合集COMB被發佈在網上,這些密碼由以往多次用戶數據違規泄露事件匯編而成)。
此次RockYou2021的密碼中也包含COMB泄露的32億條密碼,以及其他多個泄露數據庫的密碼。據了解,該匯編是由該系列的幕後人員在過去幾年裏積累的。
需要注意的是,全球互聯網用戶只有47億,RockYou2021匯編的密碼可能包括全球所有網民的密碼,甚至是該數字的兩倍。因此,CyberNews建議用戶立即檢查自己的密碼是否泄露。
CyberNews正將RockYou2021的密碼條目上傳至檢查器中,方便用戶自查。
如果將這84億條數據和其他包含用戶名和電子郵件地址的漏洞匯編結合起來,攻擊者可以利用密碼字典和密碼噴灑攻擊(password spraying attacks),攻擊數量不計其數的在線賬戶。
考慮到大多數人會在多個應用程式和網站上使用相同的密碼,因此在這次泄密事件中,受憑證填充和密碼噴灑攻擊影響的賬戶數量可能達到數百萬,甚至數十億。
因此,CyberNews建議用戶考慮使用密碼管理器或強密碼生成器;在所有帳戶上啟用雙重身份驗證(2FA);同時不點擊任何可疑郵件或釣魚短訊。