圖片來源: 

Troy Hunt

建立Have I Been Pwned服務的澳洲安全專家Troy Hunt,近日在駭客論壇上發現一個含有逾11億組電子郵件+密碼的資料庫,該資料庫大小為87GB,存放了逾1.2萬個檔案,相信是來自數千個不同的來源,最早的檔案時間戳是2008年。

此一資料庫被命名為Collection #1,Hunt相信它集結了來自不同外洩事件的資料,因為這些檔案所使用的分隔符或檔案格式並不一致,而且已確定資料至少來自2,890個網站。

Collection #1內含逾11億組的電子郵件+密碼,另有逾7.7億個不重覆的電子郵件帳號,以及超過2,100萬個不重覆密碼。

Hunt警告,這個資料庫可被駭客用來進行憑證填充(Credential Stuffing)攻擊,它可自動化地注入使用者名稱及密碼,企圖取得使用者帳號的掌控權。

帳密填充攻擊的成功因素有賴以下兩種狀況,一是使用者可能不知道自己的帳密已經外洩,二則是就算已變更了曾外洩的密碼,使用者也可能在其它網站上使用同樣的帳密。

網路用戶可造訪Have I Been Pwned網站並輸入自己的電子郵件帳號,以查詢自己的郵件帳號是否曾經外洩並採取防護措施。


Advertisement

更多 iThome相關內容