NộI Dung
- Tôi đã được tạo ra Pwned, Troy Hunt đã công bố vi phạm dữ liệu của Bộ sưu tập số 1.
- Bộ sưu tập các tệp chứa hàng triệu địa chỉ email và mật khẩu bị xâm nhập.
- Dữ liệu bị xâm phạm được cho là đến từ 2.000 cơ sở dữ liệu.
Vi phạm dữ liệu đã trở nên phổ biến hiện nay đến nỗi chúng tôi gần như trở nên tê liệt đối với họ. Tuy nhiên, nhà nghiên cứu bảo mật và người sáng tạo đã có Pwned, Troy Hunt vừa báo cáo một vi phạm dữ liệu sẽ gây tổn thương trong một thời gian dài: Bộ sưu tập số 1.
Bộ sưu tập số 1 là một tệp khổng lồ gần đây đã được tải lên dịch vụ lưu trữ đám mây Mega. Tệp có 12.000 tệp riêng biệt chứa 87GB dữ liệu.
Bạn có thể hỏi những gì trong dữ liệu? 772.904.991 địa chỉ email duy nhất và 21.222.975 mật khẩu duy nhất. Một vấn đề quan trọng là mật khẩu bị đánh cắp đã bẻ khóa băm bảo vệ. Đó là lý do tại sao các mật khẩu hiển thị dưới dạng văn bản đơn giản thay vì được băm mật mã khi các trang web bị vi phạm.
Hiện đang gửi email cho 768.253 cá nhân đã đăng ký nhận thông báo và 39.923 người khác đang theo dõi tên miền
- Săn Hunt (@troyhunt) ngày 16 tháng 1 năm 2019
Các mật khẩu bị bẻ khóa này cho phép một vấn đề thứ hai, một thực tế được gọi là nhồi thông tin xác thực. Nhồi tín dụng là khi vi phạm kết hợp tên người dùng hoặc email / mật khẩu sau đó được sử dụng để vào tài khoản của người khác. Những kẻ tấn công không cần phải vũ trang hoặc đoán mật khẩu - chúng chỉ có thể tự động hóa các thông tin đăng nhập.
Nhồi tín dụng đặc biệt liên quan đến những người sử dụng cùng một tên người dùng và mật khẩu kết hợp trên các trang web.
Nó chỉ xảy ra khi Bộ sưu tập số 1 chứa gần 2,7 tỷ kết hợp. Nó cũng chỉ xảy ra khi có khoảng 140 triệu địa chỉ email và 10 triệu mật khẩu từ Bộ sưu tập số 1 là mới đối với cơ sở dữ liệu Tôi đã bị xóa.
Chúng ta cũng đừng quên bản chất phi tập trung của Bộ sưu tập số 1. Các vi phạm trước đây thường có một lớp lót bạc phổ biến: mỗi vi phạm có thể được gắn vào một trang web. Không như vậy với vi phạm này, bao gồm các vi phạm trên 2.000 cơ sở dữ liệu.
Trong trường hợp này, lớp lót bạc duy nhất có thể là Hunt không biết nếu mọi vi phạm trong Bộ sưu tập số 1 là hợp pháp. Tuy nhiên, Hunt cũng nói rằng đây là lỗi vi phạm lớn nhất từng được tải vào HIBP.
Tôi nên làm gì?
Đầu tiên, hãy truy cập Have I Been Pwned và nhập địa chỉ email của bạn. Trang web cho bạn biết nếu một tài khoản sử dụng địa chỉ email đó đã bị xâm phạm.
Nếu bạn đã sử dụng Have I Been Pwned, bạn sẽ nhận được thông báo vi phạm. Gần một nửa số người dùng trên trang web bị vướng vào vi phạm, vì vậy hãy ghi nhớ điều đó nếu bạn là thành viên.
Từ đó, nhấp vàoMật khẩu trên đầu trang của Have I Been Pwned. Mật khẩu Pwned cho phép bạn biết nếu mật khẩu của bạn bị xâm phạm và giúp bạn sử dụng mật khẩu mạnh.
Nếu bạn có một địa chỉ email bị xâm phạm và mật khẩu bị xâm phạm, thì đó là thời gian để dọn dẹp các thực hành mật khẩu của bạn. Nếu một trang web hỗ trợ nó, sử dụng xác thực hai yếu tố. Nó có thể không thể đánh lừa được, nhưng xác thực hai yếu tố giúp can ngăn hầu hết những người có thể muốn truy cập vào tài khoản của bạn.
Bạn cũng có thể tránh sử dụng cùng một mật khẩu trên nhiều trang web. Nó hấp dẫn khi sử dụng cùng một mật khẩu vì mục đích thuận tiện, nhưng thực tế là một con dao hai lưỡi nguy hiểm.
Cuối cùng, sử dụng một trình quản lý mật khẩu. 1Password, Dashlane và LastPass là ba trong số các tùy chọn phổ biến ngoài kia, mặc dù bạn cũng có thể sử dụng phương pháp thử và viết bằng bút và giấy.
Oh, và thay đổi mật khẩu của bạn. Chắc chắn thay đổi mật khẩu của bạn. Làm cho nó một cái gì đó phức tạp, một cái gì đó có thể được tìm thấy trong một từ điển.
