Massive Collection1泄露在線暴露773m獨特記錄

包含多達8億個唯一電子郵件地址和超過2100萬個唯一密碼的近27億條記錄已被泄露并在線發布。安全研究員特洛伊·亨特(Troy Hunt)在一篇博客文章中宣布了他的調查結果后，被稱為Collection#1的大規模數據泄漏由來自“數以千計的不同來源”的個人漏洞組成。在黑客論壇上共享的數據包括總共26.9億行數據的電子郵件地址和密碼，總共有11.6億個電子郵件地址和密碼的獨特組合。

此集合的大小超過87GB，包含12,000個單獨的文件。它代表了歷史上個人數據暴露的最大(如果不是最大)風險之一。根據Hunt的說法，這個11.6億的數字是通過將密碼過濾為區分大小寫，電子郵件地址不區分大小寫來確定的，他說泄露的數據可用于“憑據填充”攻擊。

總而言之，Hunt確定數據包含7.73億個唯一的電子郵件地址和2100萬個唯一密碼。

“人們拿這些包含我們的電子郵件地址和密碼的列表，然后他們試圖看到他們在哪里工作，”亨特說。“這種方法的成功取決于人們在多種服務上重復使用相同的憑證。

“也許你的個人數據就在這個名單上，因為你很久以前就注冊了一個論壇，你很久以前就已經忘記了，但是因為它后來被破壞而且你一直在使用相同的密碼，你已經遇到了嚴重的問題。“

在收到#1集合的提醒后，Hunt被指向了一個流行的黑客論壇的方向，成員正在討論數據庫。他將此違規行為分配為“Collection#1”，因為它是在這些論壇上傳播的圖像中根文件夾的名稱。

該研究人員在黑客論壇上出現了共計2,890個文件名之后，還復制了此數據泄露中包含的網站列表，但警告說它不一定完整，而且他無法對其進行驗證。

根據未經證實的清單，最早提到涉嫌違規的是2008年，在過去五年中發生了大量事件。

同時管理Have I Been Pwned服務的 Hunt 建議人們購買專用的數字密碼管理器或使用筆記本和筆來管理他們所有的個人登錄信息。他還反對密碼重用，稱在線用戶需要“盡可能避免這種情況”。

他的觀點反映在Malwarebytes的主要惡意軟件情報分析師Chris Boyd的評論中，他建議關鍵是確保每個帳戶的密碼限制為一個。

“這是利用密碼管理器的另一個好理由，特別是那些具有內置功能的密碼管理器可以根據數據泄露列表檢查當前密碼，”Boyd說。

“如果你認識到你的任何密碼，你應該立即停止使用它，并盡快進行一些幕后維護。”

盡管與集合#1事件的規模相差不大，Reddit上周在強行重置大量不確定數量的用戶的密碼后遭受了安全恐慌。

微博平臺不會確認這是預防措施還是反應措施，但建議這樣做是因為他們發現用戶使用了簡單的密碼或者正在使用密碼重用。

與此同時，計算機科學教授艾倫伍德沃德曾建議最好的密碼是那些你不記得的密碼，同時聲稱有證據表明使用較長的短語更容易破解。