14億明文憑證在暗網(wǎng)流通,快看看這些賬號密碼有你常用的嗎�����?
2017年12月15日
頻發(fā)的信息泄露事件���,讓個人與企業(yè)機構(gòu)的隱私數(shù)據(jù)時刻面臨泄露的風(fēng)險。
最近���,一則“菜鳥黑客也可以在某些地下黑客論壇或暗網(wǎng)網(wǎng)站中獲得大量敏感數(shù)據(jù)”的消息�,讓人們再次陷入擔(dān)憂����。
事情是這樣的,位于美國洛斯加托斯的網(wǎng)絡(luò)情報公司 4IQ 在地下黑客論壇上發(fā)現(xiàn)了一個擁有14億(1400553869)登錄憑證、大小超過 41Gb 的明文數(shù)據(jù)庫��。
4IQ 這家公司是什么來頭呢?據(jù)了解�����,其主要為國防和執(zhí)法部門服務(wù)�����,同時也為企業(yè)提供情報服務(wù)���。該公司主要通過每天監(jiān)視數(shù)以千計的暗網(wǎng)網(wǎng)站����、地下黑客論壇和暗網(wǎng)交易市場來發(fā)現(xiàn)被盜竊的登錄憑證以及泄露的個人信息和機密文件�����,并在發(fā)現(xiàn)這些數(shù)據(jù)時警告其客戶���。
簡單來說���,就是黑客盯著你����,4IQ 盯著黑客�。
用戶名和密碼均以明文形式存儲,14%之前未被破解
4IQ 發(fā)現(xiàn)�����,這一迄今為止暗網(wǎng)最大的數(shù)據(jù)庫卻并未采取任何加密�����,其中的用戶名和密碼均以明文形式存儲����,其研究人員嘗試對其中一個密碼子集進行測試后,發(fā)現(xiàn)大部分密碼都被證實是有效的�����。
4IQ 方面表示這些數(shù)據(jù)的來源眾多��。一個名為“imported.log”的日志文件列出了 256 條內(nèi)容���,詳細(xì)介紹了每個數(shù)據(jù)分錄的大小和存儲位置�,其中包括 Exploit.in 和 Anti Public Dumps 以及 133 個新增或新發(fā)生的數(shù)據(jù)泄露事件中的數(shù)據(jù)���。
Exploit.in 組合列表暴露了 7.97 億條記錄�。這個轉(zhuǎn)儲聚集了 252 個以前的違規(guī)�,包括已知的證書列表,如Anti Public 和 Exploit.in�����,解密已知的破解密碼��,如 LinkedIn 的密碼���,以及比特幣和 Pastebin 網(wǎng)站等較小的破解���。
盡管其中大多數(shù)數(shù)據(jù)在很早以前就已經(jīng)被公開披露,但其中有14%在之前沒有被破解的登錄憑證��,現(xiàn)在可以以明文形式獲得���。
另外�,還有3.85億個新增加的登錄憑證��,以及3.18億獨立用戶名和1.47億個獨立密碼。
數(shù)據(jù)庫被制作成列表供更快搜索���,目前仍在不斷更新
從日志文件還可以看出���,這個數(shù)據(jù)庫仍在不斷更新,最后一組數(shù)據(jù)更新時間是在2017年11月29日�。
此外,數(shù)據(jù)按字母和數(shù)字順序排列�,以便進行快速搜索。我們發(fā)現(xiàn)�,其還提供搜索工具和插入腳本,這些腳本在自述文件中進行了解釋�。
這不僅僅是個數(shù)據(jù)列表,而是一個匯總的交互式數(shù)據(jù)庫����,允許快速(一秒鐘響應(yīng))搜索和新的違規(guī)入口。鑒于人們通過電子郵件����,社交媒體�����,電子商務(wù),銀行和工作賬戶重復(fù)使用密碼��,黑客可以自動化帳戶劫持或帳戶收購�。
4IQ研究人員表示,這個數(shù)據(jù)庫使查找密碼變得比以前更快速����、更容易。在測試中�,使用了用戶名'admin'、'administrator'和'root'來進行搜索���,僅在幾秒鐘后�,就有226631個密碼返回�����。
密碼重用以及簡單的密碼更容易讓黑客得手
我們發(fā)現(xiàn)�,一個我們常知但又最容易犯的問題被暴露,那就是密碼重用以及簡單的密碼修改模式�。在這個數(shù)據(jù)庫中,存在大量不同賬戶使用相同或相似的密碼的情況���。尤其是一些弱密碼�����,比如“123456”�,這個密碼在數(shù)據(jù)庫中就有超過920萬(9218720)個。
以下為數(shù)據(jù)庫中出現(xiàn)頻率最高的四十個密碼�����。
本文來自安全咨詢
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運維平臺建設(shè)、動漫設(shè)計���、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型�,從“人員素養(yǎng)”、“制度流程”����、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案��,業(yè)務(wù)涵蓋咨詢、評估����、規(guī)劃�����、管控��、建設(shè)�����、培訓(xùn)等�。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商!
