近日,一场史上最大规模的密码泄露事件影响了超过1.83亿个邮箱账号,其中包括数千万的Gmail邮箱,总数据量高达3.5TB。
澳大利亚安全研究员、网站Have I Been Pwned的创始人Troy Hunt表示,这批数据来自于对“infostealer”平台为期一年的追踪,这些恶意软件会在受感染的电脑中偷偷记录并上传用户的登录信息。
这次曝光的数据包括用户名、密码、登录网站地址等,其中有1.83亿个独立账号,约1,640万个邮箱地址是此前从未出现在任何泄露记录中的新数据。担心账号密码被盗的小伙伴,可以前往由知名资安专家 Troy Hunt 创立并维护的知名可靠资安工具网站https://haveibeenpwned.com/进行检查入,仅需需入email就能查找是否在泄露名单中。如果被标记为“受影响”,网站会显示泄露的时间与类型。
除了Gmail,这次泄露还包含Outlook、Yahoo以及上百个网站和服务的登录数据。分析公司Synthient称,这些数据大多来自黑客论坛与Telegram暗网频道,黑客会在那里批量买卖被窃取的密码数据库。
由于很多受害者是在多个网站重复使用同一个密码,黑客就能通过所谓的“凭证填充攻击”轻松入侵你的银行帐户、云存储、社交媒体、工作邮箱。建议立即修改邮箱密码(尤其是Gmail)、启用双重验证、不同网站用不同密码、更新杀毒软件、删除不明插件与下载内容。
附注:认识资安工具网站 https://haveibeenpwned.com/
由知名资安专家 Troy Hunt 创立并维护。自 2013 年上线至今,已被国际资安社区广泛使用,包括媒体、政府单位、企业 IT 部门。其功能是让你输入自己的电子邮件,检查是否曾出现在数据外泄事件中(例如网站遭黑客入侵后数据外流)。网站采用 HTTPS 加密连接,不会保存或贩售你的查找信息。许多知名媒体如《The New York Times》、《BBC News》、《Wired》等都报导过这个平台,是目前相当受信任的数据外泄检查工具之一。
●使用时的安全建议:只输入 Email,不要输入密码(这个网站从不会要求你提供密码。)
●网址一定要确认是:https://haveibeenpwned.com/(注意「https」与拼字)
●小心假冒网站(例如多一个字母、使用短网址转址),建议从 Google 官方搜索结果或直接输入网址。
●若查到你的 Email 出现在外泄事件中,应立即:更改该网站密码,开启两步骤验证(2FA),不同平台不要重复使用相同密码。
来源: NY Post
