你家网站会员资料是否外泄，Tripwire这个免费开源工具能帮你测

3名来自加州大学圣地牙哥分析的研究人员近日开源了Tripwire工具，可用来推断网站的会员资料是否外泄了，同时他们也发现所侦测的2300个网站中，有19个存在着资料外泄问题，当中有一个网站的会员数高达4500万。

Tripwire的概念很简单，它利用机器人申请众多网站的账号，每个账号都以独立的电子邮件位址申请，但全都使用同样的密码，只要检查各个电子邮件是否遭到第三方存取，就能用来推断网站是否遭到骇客入侵。

研究人员于2015年1月到2017年2月的测试期间中，总计注册了逾2300个网站的账号，发现当中用以注册19个网站的电子邮件曾被非法存取。

为了确认是网站而非电子邮件服务供应商遭到入侵，研究人员于同一邮件服务上额外申请了10万个账号，结果皆未遭到存取。

Tripwire也能用来检视网站是以明文或是采用加密方式来储存使用者的凭证，借由在每个网站上申请两个账号，一个使用7个字符的简单密码，另一个使用10个字符的随机且复杂的密码，若是两个账号都被骇，大概就能猜测网站是以明文来储存密码。

值得注意的是，在研究人员所发现的19个被骇网站中，只有1个曾对外公开遭骇情事，其中18个可能是对外隐暪，也可能是连自己都不知道，骇客则企图保持低调以继续使用这些凭证，以避免网站要求用户重设密码。研究人员并未揭露该拥有4500万会员数的网站名称，只说它是美国的新创业者，且显然是用明文来储存会员密码。