最大的密码汇编包含近百亿个唯一密码,在一个流行的黑客论坛上被泄露。Cybernews 研究团队认为,此次泄露对倾向于重复使用密码的用户构成了严重威胁。
Cybernews 研究人员发现了似乎是最大的密码汇编,其中包含惊人的 9,948,575,739 个独特的明文密码。包含数据的文件名为 rockyou2024.txt,由论坛用户 ObamaCare 于 7 月 4 日发布。
虽然该用户于 2024 年 5 月下旬注册,但他们之前曾共享过 Simmons & Simmons 律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及伯灵顿县罗文学院的学生申请。
Cybernews 研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照,结果显示这些密码来自新旧数据泄露的混合。
研究人员表示:“从本质上讲,RockYou2024 泄露的是世界各地个人使用的真实密码汇编,大大增加了凭证填充攻击(就是中国网民熟悉的撞库攻击)的风险。”
凭证填充攻击可能会对用户和企业造成严重损害。例如,最近针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的一波攻击就是受害者云服务提供商 Snowflake 遭受凭证填充攻击的直接结果。
该团队解释说:“攻击者可以利用 RockYou2024 密码汇编进行暴力攻击,泄露的数据集中包含各种个人用户使用的在线帐户密码。”
并非第一次
RockYou2024 密码汇编并非从天而降。三年前,Cybernews 发表了一篇关于RockYou2021密码汇编的文章,当时最大的密码汇编包含 84 亿个纯文本密码。
根据该团队对 RockYou2024 的分析,攻击者通过在互联网上搜索数据泄露来开发数据集,从 2021 年到 2024 年又增加了 15 亿个密码,使数据集增加了 15%。
RockYou2021 汇编是 2009 年数据泄露事件的扩展,其中包含数千万个社交媒体账户的用户密码。然而,自那以后,汇编数量呈指数级增长。最有可能的是,最新的 RockYou 版本包含了 20 多年来从 4,000 多个数据库收集的信息。
Cybernews 团队认为,攻击者可以利用多达 100 亿的 RockYou2024 汇编来攻击任何未受暴力破解攻击保护的系统。这包括从在线和离线服务到接入互联网的一切工业硬件。
“此外,结合黑客论坛和市场上其他泄露的数据库(例如包含用户电子邮件地址和其他凭证),RockYou2024 可能导致一系列数据泄露、金融欺诈和身份盗窃。”该团队表示。
如何防范 RockYou2024?
显然,并没有灵丹妙药来保护已暴露密码的用户,但受影响的个人和组织可以采取缓解策略。安全研究人员建议:
1.使用随机密码管理器来随机生成复杂密码,比如Chrome浏览器自带的密码管理工具,可以随机生成密码,并可以对弱密码、已泄露密码进行检测;
2.使用多重验证工具进行身份验证,微软、谷歌均提供了Authenticator验证工具,建议网民通过苹果、安卓应用商店下载安装。
3.中国主流互联网服务均支持社交媒体工具(微信、支付宝、抖音等)扫码验证或手机短信验证,部分与金融服务相关的关键业务必须通过刷脸验证或人工验证。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/G4kMwOvDP1vbE4fT_mJ0CQ
封面来源于网络,如有侵权请联系删除
