聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Troy Hunt 提到,这批庞大的数据出现在一家著名的失陷凭据出售地下市场。Hunt 表示自己对于这类凭据的关注很少,因为基本都是对之前攻击活动中已发布密码的简单编译和封包。然而,这次有所不同。
内容显示近2500万个密码此前从未被泄露过:
319个文件总计104GB
70,840,771个唯一的邮件地址
427,308个个人HIBP 订阅用户受影响
65.03%的地址已存在于HIBP中(基于1000个随机样本集)
Hunt 提到,“最后一个数字是真正的问题所在。三分之一的邮件地址此前从未出现过,这在数据上而言十分重要。它并非常见的新瓶装旧药情况,它是大量的新数据。从发布数据的论坛帖子可以看出,数据来自‘窃取器日志’,或者换句话说来自从受陷机器盗取凭据的恶意软件。”
Hunt 发布的图片截图显示了被暴露的小型样本,从中可看到多个站点的账户凭据遭盗取。这些网站包括Facebook、Roblox、Coinbase、Yammer和Yahoo。这些密码以明文形式出现。从网站泄露事件中盗取的账户凭据几乎全部是加密哈希的(多数被暴露凭据是薄弱的且通过简单的密码字典攻击即可被轻松破解)。
HIBP 收集的数据表明该密码弱点泛滥成灾。在所收集的1亿个唯一的密码中,它们出现了13亿次。Hunt 写道,“公平来说,虽然存在重复的实例,但还有很多人在不同的服务中使用同样的密码,而不同的人会使用同样的密码。现在服务的影响比任何时候都要大!”
Hunt 联系了所列邮件中的一些人员,证实了数据集的真实性。这些人员证实称所列凭据或者至少是准确的。为了再次确认,Hunt 还查看了凭据样本,检查邮件地址是否与受影响网站上的账户相关联。结果确实如此。Hunt 的一些用户指出这些密码自2020年或2021年就是有效的。如果不更新,则它们仍然是有效的。地下市场的出售帖子表示,这些数据源自 naz.api 的安全事件,而该网站此前被捐赠给另外一个站点。
Hunt 表示,很大比例的凭据并非来自所声称的窃取器恶意软件,而是通过凭据填充方法获取的。数据填充是一种账户劫持攻击,从之前的安全事件收集大量被盗账户凭据。Hunt 提到凭据填充来源解释了它所使用的密码 “pre-2011” 也被包括在内的原因。
网上提到了数十种保护账户安全的方法。账户安全的两个主要因素是:(1)选择强大的密码以及(2)使它们远离猎手。这意味着需要:
创建长的、随机生成的密码或口令。密码的长度至少应该是11个字符,而口令应该是从由不少于5万个条目组成的字典中随机选取的四个词语。如可使用对新手友好的开源密码管理器 Bitwarden。密码创建后应当存储在密码管理器存储库中。
阻止强密码被攻陷。这就要求不能将密码输入钓鱼网站且设备不能遭恶意软件攻击。
使用双因素认证,在可能的情况下使用安全密钥或认证应用。可通过双因素认证保护密码管理器的安全。
更好的方法是使用新的行业认证标准passkeys,使其免受窃取器应用共和凭据钓鱼的盗取攻击。
也可通过HIBP创建账户或者定期在搜索框中查看密码是否存在于任何公祭活动。为阻止搜索滥用,HIBP 不记录所输入的邮件地址,且网站所存储的密码数据中并未加载相对应的密码。HIBP 还可使用户在数据库中搜索特定的密码。
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh