用于凭证填充的公共托管服务可能会泄露数据

一个包含电子邮件地址,明文密码和部分信用卡数据的庞大数据库已上传到免费的公共托管服务。

共享服务的运营商将该集合发送给澳大利亚安全研究员Troy Hunt和Have I Been Pwned数据泄露索引站点的创建者,进行比较并检查是否是未知数据泄露的结果。

最有可能用于凭证填充

根据数据的格式,Hunt认为这些列表最有可能用于凭证填充攻击,它们将单个列表组合破解密码和电子邮件地址,并自动针对各种在线服务运行它们以劫持与其匹配的用户帐户。

凭证填充攻击利用了以下事实:为方便起见,用户可能会在多个网站上重复使用凭据。

“当我从文件中删除电子邮件地址时,我发现了近42M的独特值。我拿了一个样本集,发现其中约89%已经在HIBP中,这意味着有大量的数据我以前从未见过(后来,在加载整个数据集之后,这个数字上升到了93%。)“Hunt写在博客文章中。

安全研究人员能够确定数据集中超过91%的密码已经在Have I Been Pwned集合中可用。您可以在此处查询您的服务(https://haveibeenpwned.com/Passwords)。

Hunt说集合中的文件名并没有指向特定的源,因为它们出现的漏洞没有单一的模式。

多年来,安全研究人员一直建议用户戒掉回收密码的习惯,特别是为了避免凭证填充攻击。

网络犯罪分子每天都会交换凭证数据库,不仅仅是在黑暗的网络上,而是在公共可访问的论坛上。他们依靠自动化流程破解密码并针对在线服务进行测试。

使用密码管理器可以为您访问的每个站点生成强大的唯一密码,并启用双因素身份验证(如果可能)是针对此类攻击的良好措施。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/files-with-42-million-emails-and-passwords-found-on-free-hosting-service/

扫码关注云+社区

领取腾讯云代金券