包含多達(dá)8億個(gè)唯一電子郵件地址和超過2100萬個(gè)唯一密碼的近27億條記錄已被泄露并在線發(fā)布。安全研究員特洛伊·亨特(Troy Hunt)在一篇博客文章中宣布了他的調(diào)查結(jié)果后，被稱為Collection#1的大規(guī)模數(shù)據(jù)泄漏由來自“數(shù)以千計(jì)的不同來源”的個(gè)人漏洞組成。在黑客論壇上共享的數(shù)據(jù)包括總共26.9億行數(shù)據(jù)的電子郵件地址和密碼，總共有11.6億個(gè)電子郵件地址和密碼的獨(dú)特組合。

此集合的大小超過87GB，包含12,000個(gè)單獨(dú)的文件。它代表了歷史上個(gè)人數(shù)據(jù)暴露的最大(如果不是最大)風(fēng)險(xiǎn)之一。根據(jù)Hunt的說法，這個(gè)11.6億的數(shù)字是通過將密碼過濾為區(qū)分大小寫，電子郵件地址不區(qū)分大小寫來確定的，他說泄露的數(shù)據(jù)可用于“憑據(jù)填充”攻擊。

總而言之，Hunt確定數(shù)據(jù)包含7.73億個(gè)唯一的電子郵件地址和2100萬個(gè)唯一密碼。

“人們拿這些包含我們的電子郵件地址和密碼的列表，然后他們?cè)噲D看到他們?cè)谀睦锕ぷ鳎?rdquo;亨特說。“這種方法的成功取決于人們?cè)诙喾N服務(wù)上重復(fù)使用相同的憑證。

“也許你的個(gè)人數(shù)據(jù)就在這個(gè)名單上，因?yàn)槟愫芫靡郧熬妥?cè)了一個(gè)論壇，你很久以前就已經(jīng)忘記了，但是因?yàn)樗髞肀黄茐亩夷阋恢痹谑褂孟嗤拿艽a，你已經(jīng)遇到了嚴(yán)重的問題。“

在收到#1集合的提醒后，Hunt被指向了一個(gè)流行的黑客論壇的方向，成員正在討論數(shù)據(jù)庫。他將此違規(guī)行為分配為“Collection#1”，因?yàn)樗窃谶@些論壇上傳播的圖像中根文件夾的名稱。

該研究人員在黑客論壇上出現(xiàn)了共計(jì)2,890個(gè)文件名之后，還復(fù)制了此數(shù)據(jù)泄露中包含的網(wǎng)站列表，但警告說它不一定完整，而且他無法對(duì)其進(jìn)行驗(yàn)證。

根據(jù)未經(jīng)證實(shí)的清單，最早提到涉嫌違規(guī)的是2008年，在過去五年中發(fā)生了大量事件。

同時(shí)管理Have I Been Pwned服務(wù)的 Hunt 建議人們購買專用的數(shù)字密碼管理器或使用筆記本和筆來管理他們所有的個(gè)人登錄信息。他還反對(duì)密碼重用，稱在線用戶需要“盡可能避免這種情況”。

他的觀點(diǎn)反映在Malwarebytes的主要惡意軟件情報(bào)分析師Chris Boyd的評(píng)論中，他建議關(guān)鍵是確保每個(gè)帳戶的密碼限制為一個(gè)。

“這是利用密碼管理器的另一個(gè)好理由，特別是那些具有內(nèi)置功能的密碼管理器可以根據(jù)數(shù)據(jù)泄露列表檢查當(dāng)前密碼，”Boyd說。

“如果你認(rèn)識(shí)到你的任何密碼，你應(yīng)該立即停止使用它，并盡快進(jìn)行一些幕后維護(hù)。”

盡管與集合#1事件的規(guī)模相差不大，Reddit上周在強(qiáng)行重置大量不確定數(shù)量的用戶的密碼后遭受了安全恐慌。

微博平臺(tái)不會(huì)確認(rèn)這是預(yù)防措施還是反應(yīng)措施，但建議這樣做是因?yàn)樗麄儼l(fā)現(xiàn)用戶使用了簡(jiǎn)單的密碼或者正在使用密碼重用。

與此同時(shí)，計(jì)算機(jī)科學(xué)教授艾倫伍德沃德曾建議最好的密碼是那些你不記得的密碼，同時(shí)聲稱有證據(jù)表明使用較長(zhǎng)的短語更容易破解。