史上最大个资外泄,一口气曝露来自近3千起攻击窃取的个资,总计泄露逾27亿组电子邮件信箱和密码

2019-01-18 17:34

导读: 资安专家Troy Hunt揭露一起超大规模的资料外泄事件,骇客于地下论坛分享近3千起攻击泄露的电子邮件信箱与密码,总计包含了多达近27亿笔资料,堪称是史上规模最大。
图片来源: 

Troy Hunt

近年来资料外泄事件频传,开始有不少民间的社群或是资安专家,提供搜寻平台,让使用者能够检查自己的电子邮件账号,是否遭骇,其中,Have I Been Pwned?算是其中相当知名的网站。推出上述网站的资安专家Troy Hunt于17日时,在部落格揭露一起大规模资料外泄事件,引发Wired、Gizmo、Cnet等媒体争相报导。

Troy Hunt指出,他接获线民通报,大量含有个资的档案,以公开的方式存放在Mega云端空间,包含了超过12,000个档案,容量多达87GB以上。这些资料,出自地下论坛,骇客号称收集自2,980起攻击事件得手的账号资讯,而且都以明码的方式呈现。Troy hunt整理之后表示,这组资料总共内含了2,692,818,238笔电子邮件信箱与密码,其中不重复的资料,则有1,160,253,228组,总共涉及了772,904,991个电子邮件信箱,出现了21,222,975组密码。由于泄露内容极为庞大,Troy hunt称上述资料是史上第一大(Collection #1)外泄。

这些被骇客公开的电子邮件与密码,范围包含了多种账号,像是电子邮件信箱、比特币(BTC)钱包、电子商城,以及游戏平台等,其中有些是骇客解密(Dehashed)而来的内容。(图片来源/Troy Hunt)

上述被公开的电子邮件与密码内容,Troy Hunt已收录到他的Have I Been Pwned?网站上,提供使用者查询是否遭骇。

分析27亿笔电子邮件与密码内容,找出是否出现重复的资料,究竟需要多少运算资源呢?Troy Hunt在推特上表示,这个月他租用的Azure虚拟机器,可能要为此支付高达21967.96澳币(约新台币48万元),还表示希望使用Have I Been Pwned?的网友能够赞助一下。(图片来源/Troy Hunt)

外泄事件规模资讯

●总共外泄近27亿(2,692,818,238)笔电子邮件账号及密码
●资料来源汇及自2,980起攻击事件
●扣除重复内容,约有11.6亿(1,160,253,228)组帐密资料
●涉及7.7亿(772,904,991)个不同电子邮件的使用者
●但这些使用者只用了2,100万(21,222,975)组密码,平均每36人会使用同一组的密码