每个口令都遭解密,用户安全受到极大威胁。
暗网市场就是能买到各种非法物品的集市,从毒品到假证到武器,应有尽有。最近,该市场成为了黑客和网络罪犯们出售所盗数据库的最佳场所,互联网巨头纷纷中招。
雅虎账户
昵称“SunTzu583”的供货商在暗网市场出售数百万Gmail和雅虎账户。账户清单于本周挂出,显示所售账户为从2012年Last.FM数据泄露获取到的10万个雅虎账户——Last.FM数据泄露事件中4300万用户账户在2016年9月被公开发布。这些账户包含有明文形式的用户名、电邮地址和口令。可能是因为该数据已经公开,本次账户数据要价仅 0.0079 比特币(10.75美元)。
SunTzu583的另一份挂单提供了14.5万个雅虎账户,售价 0.0102 比特币(13.75美元)。这些账户同样包含用户名、电邮地址和被解密的口令。据研究,这些账户来自两次数据泄露,分别为:2013年10月的Adobe数据泄露——1.53亿账户被泄,包含内部ID、用户名、电邮地址、加密口令及明文口令提示;2008年的MySpace数据泄露——3.60亿用户账户被盗,2016年于暗网泄露。
Gmail账户
谷歌的Gmail向来被认为是最安全的电子邮件服务提供商之一,但遭遇第三方数据泄露致Gmail账户被盗,谷歌也是回天乏力。此处所言数据,为暗网在售的50万个Gmail用户,售价0.0219 比特币(28.24美元)。数据包含来自3次历史泄露的用户名、电子邮件地址和明文口令:2014年的比特币安全论坛数据泄露,2008年的MySpace泄露,以及2013年的Tumblr泄露——数百万账户在网上公之于众。
还有一份挂单要价更低: 0.0199 比特币(25.74美元);出售的是45万Gmail账户。与上述其他挂单类似,这些账户中同样包含电子邮件地址及其明文口令。这份挂单中的数据明显是多个数据泄露的汇编:比特币安全论坛、Tumblr、Last.fm、000webhost、Adobe、Dropbox、Flash Flash Revolution、LookBook和 Xbox360 ISO。必须指出的是,所有这些数据泄露均发生在2010至2016年间。
数据能用吗?
虽然某些情况下很难验证暗网数据是否有效,但本案例中,HackRead网站在Hacked-DB和Haveibeenpwned之类数据泄露通告平台上进行了查证。
同时,HackRead联系了样本数据中被曝登录凭证的一些用户,在征得同意的情况下登录了不同的平台,包括MySpace、Dropbox、Tumblr等等,发现其中许多人最近刚修改了口令,而某些账户因为没有修改口令而暂时被封。这就凸显出:虽然数据很老,却依然威胁巨大——因为口令是明文形式,且多平台口令打包出售。
强烈建议:若您的账户在上述各数据泄露中出现,而您尚未修改口令,请务必立即修改。
本文转自d1net(转载)