1月17日, 网络安全研究员 Troy Hunt 发表了一篇名为"The 773 Million Record "Collection #1" Data Breach"的博文,针对他发现的 MEAG (网盘服务)上存在的87G帐号密码数据进行了一些分析。
Troy Hunt在博客中表示,他在热门云服务MEGA上发现包含超过12,000个单独的文件和超过87GB的数据文件集(此后数据已从服务中删除),该文件集根文件夹被称为“Collection#1”,引用了“按主题存储的2000+ dehashed数据库和Combos的集合”,并提供了在Troy Hunt处复制的2,890个文件的目录列表,这意味着将明文密码加密成不可读字符串的手段已遭破解,这些密码完全暴露。
截至目前为止,Collection#1中的所有21,222,975个密码已添加到Pwned Passwords中,使列表中的总数达到551,509,767,这些数据包含了约11.6亿个独立的账号、密码组合,总共构成了27亿个可用于撞库(credential stuffing)攻击列表的组合。其中总共有1160253228条电子邮件地址和密码的独特组合。但这些数据中并不都是完全有效的数据,也有一些是没有良好处理的无效的电子邮件格式。
目前,这些数据已经被导入到了 Have I Been Pwned(HIBP), HIBP 是 Troy Hunt 于2013年12月4日创建的一个能让用户检查电子邮件是否受数据泄露影响的网站。
Troy Hunt在博客中表示,他在这些数据中也发现了自己过去曾经使用过的密码,他表示他曾经遭遇过多次数据泄漏,而导致了他的这些数据被收集到了。
通过安装病毒防护软件、定期修改密码、避免密码的相似性、避免密码具有实际含义的单词或短语、保证密码的长度至少15位左右并且包含数字/字母/特殊符号等措施也可预防用户密码泄漏的问题。
