11 亿不重复的邮箱密码组合遭泄露,很可能是有史以来最大的一次


#1

消息来源: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

上面消息来源的作者是 https://haveibeenpwned.com 的创始人

v站也发了,不过题目里的数目有歧义,还是写少了 https://www.v2ex.com/t/528117

大概总结一下:

数据量

初始数据有 26 亿条,经过整理后有:

“ In total, there are 1,160,253,228 unique combinations of email addresses and passwords.”

11 亿不重复的邮箱密码组合

“ The unique email addresses totalled 772,904,991.”

7 亿不重复的邮箱(有一邮箱多账号的情况)

“ There are 21,222,975 unique passwords.”

2 千万不重复的密码(有一密码多账号的情况)

其中密码有些 hash 了,有些是被黑客解出来的明文

“ They’re also ones that were stored as cryptographic hashes in the source data breaches (at least the ones that I’ve personally seen and verified), but per the quoted sentence above, the data contains “dehashed” passwords which have been cracked and converted back to plain text. ”

截取到的文件显示这是一个很大的库, 据说 有 2000 多个网站:

“ The post on the forum referenced “a collection of 2000+ dehashed databases and Combos stored by topic” and provided a directory listing of 2,890 of the files which I’ve reproduced here.”

网站列表( 据说 )在这: https://pastebin.com/UsxU4gXA

检查自己有没有中

第一种是网页直接检查(需要输入邮箱或密码,不想直接输入密码的可以尝试下一种)

https://haveibeenpwned.com/

第二种是用api检查

有多种,介绍一种按 sha1 前几位来判断的

sha1 加密你的密码,取前五位,用这个 api 可以找出前五位一样的已泄露的密码的 sha1,对比可以看到有没有自己的(在浏览器里直接把前面的 get 去掉输到地址栏里一样)

备注

一般这个网站会写明泄露的库是哪个网站的,但是这次估计比较复杂,所以用了 Collection #1 accounts 这个名字


#2

基本都中招了…


#3

有大站的密码中招吗(如果不是都用的一个密码的话),我的也有小站中招了,大站似乎还好