在一个流行的黑客论坛上,似乎是有史以来最大的密码集被泄露了。一名论坛用户发布了一个巨大的100GB TXT文件,其中包含84亿条密码,据推测这些密码是由以前的数据泄露和漏洞组合而成。
根据帖子作者的说法,泄漏的所有密码都是6-20个字符的长度,非ASCII字符和白色空格被删除。该用户还声称,该汇编包含820亿个密码。然而,经过我们自己的测试,实际数字几乎低了10倍–为8,459,060,239个特别条目。
该汇编本身被论坛用户称为 “RockYou2021″,这可能与2009年发生的臭名昭著的RockYou数据泄露事件有关,其中也包含所有密码的rockyou2021.txt文件名,当时威胁者入侵了该社交应用网站的服务器,得到了以纯文本存储的超过3200万用户密码。
RockYou2021汇编中包含的泄露密码的一个案例。
这次泄露的密码比12年前多了262倍,可以与有史以来最大的数据泄露汇编(COMB)相抗衡。其32亿个被泄露的密码,以及其他多个被泄露的数据库的密码,都被纳入了RockYou2021汇编中,该汇编是由这个汇编背后的人在几年内积累起来的。
考虑到只有约47亿人在线的事实,从数字上看,RockYou2021汇编可能包括整个全球在线人口的密码,数量几乎是其两倍以上。出于这个原因,建议用户立即检查他们的密码是否正在被泄漏。
如何检查自己的密码是否被泄露?
10/06更新:我们现在已经将RockYou2021密码列表中84亿条中的近79亿条上传至我们的泄漏数据库。为了安全地检查您的密码是否列入其中,请务必打开CyberNews个人数据泄漏检查器。
注意:我们对读者的隐私极为重视。为了保护你的隐私和安全,你在搜索栏中输入的数据是经过散列的,我们只使用这个散列值在我们的数据库中进行搜索。我们不收集输入的电子邮件或密码,当你执行泄漏检查时,我们不会记录任何信息。
潜在的影响
通过将84亿个独特的密码变体与其他包括用户名和电子邮件地址的漏洞汇编相结合,威胁者可以利用RockYou2021收集的密码字典和密码喷洒攻击数不清的在线账户。
由于大多数人在多个应用程序和网站上重复使用他们的密码,因此在这次泄密事件后,受凭证填充和密码喷洒攻击影响的账户数量有可能达到数百万,甚至数十亿。
如果你的密码被泄露了,该怎么办?
如果你怀疑你的一个或多个密码可能已经包括在RockYou2021.txt集合中,我们建议采取以下步骤,以确保你的数据安全,避免威胁者的潜在伤害。
使用我们的个人数据泄露检查器和泄露密码检查器,看看你的数据是否在这次或其他泄露事件中被泄露了。
如果你的数据已被泄露,确保更改你的在线账户密码。
在你所有的在线账户上启用双因素认证(2FA)。
注意收到的垃圾邮件、未经请求的短信和钓鱼信息。不要点击任何看起来可疑的信息,包括来自发件人的电子邮件和短信。
