Jhonse技术 2019-12-13
一个匿名团体在线泄漏了数十亿个电子邮件地址和纯文本密码,中国泄露最为严重,使无数互联网用户面临凭证填充和其他攻击的风险。
安全研究员鲍勃·迪亚琴科(Bob Diachenko)于12月4日发现了不安全的Elasticsearch数据库,该数据库首先由BinaryEdge搜索引擎索引,该数据库在2019年12月1日开始就可以公开使用。在他通知总部位于美国的ISP托管该IP地址之后,该数据库最终于12月9日被禁用。
从12月1日到12月9日,一周以上的人都允许任何人在无密码的情况下访问但黑客有足够的时间来收集大量登录数据。这些被盗的电邮及密码也与 2017 年那次大型的被盗事件有关,当时有黑客直接将它们放在暗网上售卖。
该数据库总共包含27亿个电子邮件地址,以及超过十亿个电子邮件地址的纯文本密码-为凭据填充活动提供了一个完美的起点。据Comparitech称,尽管存在少量Gmail和Yahoo地址,但新的1.5TB泄漏主要包括来自qq.com,139.com,126.com,gfan.com和game.sohu.com的中文域的电子邮件。
该公司的隐私倡导者Paul Bischoff写道。“由于许多中国人难以阅读英文字符,因此他们经常使用电话号码或其他数字标识符作为用户名。因此,我们可以假设其中许多电子邮件地址也包含电话号码。”
与工作Comparitech,Diachenko推断,很多数据是从2017年收获由被称为黑客上市“DoubleFlag。”名曰“大亚洲泄漏,”这包括从多个互联网公司来自该地区,其中包括网易,腾讯,搜狐和新浪。
目前还不清楚公开数据库的所有者是谁。从理论上讲,它可以设置为凭证填充甚至垃圾邮件活动的第一步。
Balbix的首席技术官Vinay Sridhara表示,影响范围不仅仅限于受害者的个人帐户 。
他说:“由于许多员工在工作帐户和个人帐户之间共享密码,因此这种泄漏不仅对拥有帐户的个人造成问题,而且对全球企业也构成很大的风险,”
中国泄露最严重,那我们怎么才能减少隐私被泄露的危害呢?
1、最好有两个手机号,一个平常和熟悉的人联系,另一个作为在各大网站注册以及线下办理一些门店会员等使用。特别是购物网站和类似美团、饿了么等,备注号码一定要是平常的小号。
2、不用的号码请注销,只有注销后,那些套餐、绑定信息才会在下一个使用这个号码的同时,不会收到那些有你隐私的信息。比如我最近注册的账号就一直有别人银行卡的消费记录,这种情况被有心人操作,可能会造成重大损失。
3、好心帮别人“砍一刀”这样的事少做,很多都需要获取你的应用权限以及个人信息注册,有的甚至必须你下载该软件。
4、不要玩测一测或者算命等小测试!大多数这种游戏就是为了获取数据然后卖数据赚钱的。
5、拆快递虽然很爽,但是拆完后也不要忘记把盒子上的快递单销毁,外卖也是一样的道理,这一点女生尤其要注意。
6、很多垃圾招聘网站都会泄露信息,一流的也不例外,所以需要适当。
7、下载软件后,一定要看条款!
当初百度董事长兼CEO李彦宏表示,“中国人对隐私问题的态度更开放,也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下,他们就愿意这么做。当然我们也要遵循一些原则,如果这个数据能让用户受益,他们又愿意给我们用,我们就会去使用它的。我想这就是我们能做什么和不能做什么的基本标准。”
此言一出,引起很多网友的关注和争论。为了方便,用户真的愿意用隐私为代价换取吗?到底是愿意还是无奈?
但现在看来,已经不是窃取数据给我们便利,他们又能牟利。而是把我们当商品进行买卖了。