首页 > 新闻 > 消费类电子新闻
[导读]最近Firefox(火狐浏览器)官方出了一个密码泄露检测网站——FirefoxMonitor。用法很简单,把你经常用来注册账号的邮箱输进去,它就能告诉你账号密码是否曾经被泄露过,被谁泄露过。 不仅如此,你还可以订阅

最近Firefox(火狐浏览器)官方出了一个密码泄露检测网站——FirefoxMonitor。用法很简单,把你经常用来注册账号的邮箱输进去,它就能告诉你账号密码是否曾经被泄露过,被谁泄露过。

本文引用地址: /news/ce/201812/855476.htm

 

不仅如此,你还可以订阅一份数据泄露警报,一旦发生新的数据外泄事件,它会给你发邮件提醒。

 

网址是:monitor.firefox.com ,大家有空不妨去查查自己的数据泄露情况。

下面我给大家说道说道“查泄露”这件事。

Let's Rock !

其实,这类网站并非首次出现,大概五六年前就流行过一阵子,只不过后来绝大多数都已阵亡了,原因后文会说到。

它的原理不复杂:

一个网站的数据库被黑客拷贝拖走,叫脱裤(拖库);

 

早些年黑客们在茶余饭后大多有收集“裤子”的喜好。流传到网上的各类“裤子”会被他们汇合到一处,或珍藏,或把玩。

正如宅男们喜欢拿着U盘相互交换电脑里的学习资料,黑客之间偶尔也“以裤会友”。

(提裤邀明月,对影成三人)

 

后来,有人专门搭建了网站,对外提供一个查询界面,于是查数据泄露网站就这么诞生了。

 

这类网站除了使用自己收集的泄露数据库之外,有时还会接入其他网站的API接口,大家相互串用数据。

 

比如,在火狐的Firefox Mnitor 上查询一个结果,它会显示“泄露数据由Have I Been Pwned提供”。

显然它调用了“Have I Been Pwned ”的数据接口。

 

这个Have I Been Pwned 是一个老牌的数据泄露查询网站,说起来,它是数据泄露查询界的扛把子。想了解这类网站的进化历史,大概可以从它说起。

(网址是:haveibeenpwned.com)

 

这个网站始于2013 年,创办者叫特洛伊·亨特(Troy Hunt) ,是一名就职于微软的高级安全专家。

 

时间回到2010年,数据泄露事件在当时就像天上的闪电一样,时不时炸响在公众视野。亨特作为一个安全专家,受命去做数据泄露的技术研判和趋势分析工作。

他纠结于一个问题:

数以亿计的人莫名其妙就被商业公司泄露了隐私数据,账号密码、身份证号、甚至家庭住址……他们是真正的受害者,可相当一部分人居然毫不知情?这不合理。

正所谓“人在家里坐,锅从天上来,死也要死个明白”,他决定帮人们维护知情的权利和能力。

恰逢2013年10月,知名软件公司Adobe 曝出前所未有的数据泄露,影响1.52亿个账户,亨特再也坐不住了。

次月,他在自己的博客上公布了一个网站,取名“Have I been Pwned ?” (我被搞了吗?)

如今全球最出名的泄露查询网站就这么诞生了!

(2013年第一版首页的样子)

 

和现在不同的是,一开始它只支持五个泄露数据库的查询,其中三个大家应该不陌生:Adobe、雅虎、索尼

 

网站一经推出,访问量飞快增长,吃瓜群众们三五成群地跑来查询自己是否中招。亨特发现确实能帮到不少人,也有了继续做的动力。(这个网站的查询服务一直是免费的)

在他和众多互联网公司的共同努力下,Have I Been Pwned(名字太长了,以下简称HIBP)的数据库越攒越大。

但是访问量真正爆发还是2015 年的那次事件。

2015年7月,一个叫Ashley Madison的网站被拖库,数据库流传到公网。亨特按照往常惯例,把公开流传的数据库找来,添加到HIBP 的库里供人查询。

本来这只是个常规操作,可是问题出现了。

这个被拖库的网站是个约炮网站,而且公开鼓励人们搞婚外恋,找外遇……

(它的口号是:Life is short ,Have an affair ——人生苦短,寻些乐子!)

 

就这么个网站泄露了30万注册用户的账号密码和资料,还被亨特挂在网上供人公开查询。

猛然之间,有种30万个隔壁老王同时被捉奸在床的赶脚。。。

HIBP 网站一下子炸了。人们一拥而入,纷纷输入自己的邮箱,以及各路亲朋好友、同事上司、三大姑二大姨的邮箱,查查他们是否注册这个约炮网站。

我脑补了一下当时的情景都觉得尴尬:

“听说了吗?楼底下68岁那看门大爷注册了Ashley madison 约炮网站……”

“哎呦,老当益壮!对了,听说XX部门的那谁也注册了!

“是嘛!哈哈哈哈……”

据亨特回忆,那次事件让HIBP 网站的访问量增长了57000%。

但同时,他也立刻意识到严重的隐私保护的问题——HIBP没有限制人们查询别人泄露情况,这会导致另一种形式的隐私泄露。

从那之后,亨特加入了一些安全措施,但凡遇到色情网站、相亲网站之类的敏感内容,就只用发邮件的形式告诉查询者,而不是公开展示。过没多久,又一个约炮网站数据泄露(网站名字就不说了),这个措施果然就派上用场。

HIBP 的名气越来越大,后来居然还有人匿名“投稿”,主动把自己手里的数据库主动送给亨特,让他挂在HIBP 上供人公开查泄露。

2015年10月初,一个匿名黑客联系亨特,声称自己手里有1350万条明文的账号密码,并告知亨特这些数据泄露自著名的虚拟主机厂商“000webhost"。

亨特大吃一惊,立马联系福布斯杂志,和他们一起联系受害用户确认了数据库的真实性。

可是,当他们紧急联系上泄露数据的厂商“000webhost”,对方没有给出任何答复。

 

到了月底,亨特把数据库添进HIBP,福布斯杂志公开写文章报道,“000webhost”这才终于憋不住,在社交媒体承认数据泄露。

又过了不到一个月,电子玩具厂商Vtech 被曝拖库,另一位匿名黑客给亨特发来了数据包,涉及500万条孩子和其父母亲的账户记录,同样添加到HIBP的库里。

这就样,HIBP 的数据量增速越来越快……

到了2016年,数据泄露事件的数量陡然增多,堪称史无前例:3.6亿的Myspace 账户、1.64亿的LinkedIn 账户、6500万的Tumblr 账号………

这些数据最初都来自一个名叫“peace_of_mind”的人在暗网公开售卖,没过多久,它们都被加到了HIBP,也不知道是亨特直接从黑客手里买来的,还是其他人从黑客手里买来之后送给他的。

但需要注意的是,这些数据泄露并不是2016年当年发生的,而是好几年前就被拖库了,只是2016年才浮出水面。比如Myspace数据泄露是在2009年,LinkedIn 是在2012年,Tumblr 则是在2013年。

贩卖这些数据的黑客“Peace of mind” 也同样印证了事实:这些数据在公开之前早就已经过很多遍转手交易了,大家都用得差不多了才开始公开售卖赚点外快……

 

话分两头。一边是HIBP 在飞速增长,另一边,中国网民也开始搭建起了自己的数据泄露查询网站。

只不过,由于我国相关法律在当时还不是特别完善,以及人们的数据隐私意识相对缺失,国内这类网站的生长环境比国外粗放不少。

2013年10月,国内网上出现了一个叫“查开房”的网站,有网友在上面输入自己的名字,很快查到几条某知名连锁酒店的入住记录,真实无误。而且还能查到相关身份证号、生日、地址等信息。

根据当时新闻的说法,数据涉及2000万人的酒店入住信息,

(当时的新闻图片有点糊了,大家将就看吧)

 

“查开房”一经推出全网火爆。

有多火爆呢?网站上线没两天就无法打开,有人怀疑是因为有人报了警,被勒令下线了,可第二天网站又重新上线,人们这才意识到下线的原因居然是因为网站访问量太大,服务器承受不住压力宕机了………

除了酒店泄露数据查询,国内那几年也涌现出一批专门用来查询账号密码泄露的网站。

大约在2016 年左右,我就曾在一个此类网站上查到自己的真实姓名、身份证号、邮箱、籍贯、账号密码等隐私信息。据网站显示,数据是由某知名火车票售票网站泄露……当时我非常气愤和无力,自己的数据被泄露了却什么也做不了。

而我好歹还知道自己的数据被泄露了,我的家人、同事、亲戚朋友……还有更多的人都不知道自己数据被泄露了。

(图片源自网络,当时流传的某火车票售票网的数据,不知真假)

 

但是很可惜,国内并没有发展出类似Have I Been Pwned 这样的网站。

当时国内搭建这类网站的人,多半也没什么隐私保护意识。在网站上输入你要查询的账号,它不仅能告诉你是否被泄露,被哪个网站泄露,而且还会直接展示出泄露数据的详情:

(许多查询网站都直接显示账号密码)

 

于是,人们不仅可以查询自己的信息,也可以查询别人的信息。不少人都拿来调查别人的隐私。

许多原本可以像Have I Been Pwned 一样帮助普通老百姓获得知情权的网站,沦为大众眼中专门用来查找他人隐私信息的工具——“社工库”。

一些很多网站明面上写着“帮人们找回丢失的旧密码”,但实质已沦为专门用来调查他人隐私的工具。

(某个社工库写着“找回你丢失的密码”)

 

到了2016 年,我国网络安全相关法律法规开始大力完善和实施,人们明显感觉到“网络安全的气氛正在改变”。

随着新闻媒体对社工库的报道,有关部门开始介入,一批批“社工库”像多米诺骨牌一样倒塌。

 

搭建社工库的人究竟是为了帮助人们找回密码?还是帮人们了解数据泄露情况?还是他们的本意就是用来查找别人的隐私?

或许都有,现在已无从考究。但无论如何,侵犯了公民的隐私安全,它们的归宿都一样——关站。

(知名社工库findmima挂出声明后匆匆关闭)

 

根据公开新闻,2016年3月,江苏淮安警方侦破一起侵犯公民个人信息案,抓获犯罪嫌疑人8名,捣毁国内最大的网络社工库“K8社工库”,查获公民个人信息20亿条。

到现在,不少人手里还捏着那些“旧裤子”,一些新裤子也会继续在小范围和地下黑市流传。

可再也没有人敢公开承认自己手里有“裤子”,更别说公开放出来供人查询,因为谁也不敢碰这道红线。

但令人遗憾的是,账号泄露、酒店信息泄露的情况并没有随着社工库、查开房网站的消亡而消失。

(图片截取自百度搜索结果页面)

 

 

有时候我就思考,“社工库”这个东西虽然侵犯了人们的隐私,但它也并不全是坏的,至少,它能让事件浮出水面,暴露在阳光之下,让公民有了知情权,从而加速遏制住信息泄露的真正源头。

我当然不是想支持建立社工库。但有没有一种可能,国内也能出现一种“改良版社工库” ,就能像Have I Been Pwned 和Firefox 做的那样,帮助国内网民获得更多对于数据泄露事件知情的能力,而不是面对自己的数据被泄露而毫不知情无能为力?

我把这个想法告诉了一个朋友,朋友却说我想多了。

他说:“这年头手里只要拿着数据库就违法,谁敢做这种网站立马被抓!所以国内就别指望(有这类网站)了……而且,这几年数据泄露时间的披露频率也比那几年消停得多了,不信你上Have I Been Pwned 、Firefox Monitor 这类网站查查,大部分还是很多年前曝出来的那些旧库!这几年新增的数据库比较少。”

我照着他说的输入几个邮箱做安全检测,Firefox Monitor 提示我有一例泄露。HIBP则提示我有9例泄露。

这个结果跟我3 年前搜索的结果一模一样,还是那些网站。

(提示我账号挺安全)

 

(我在3年前查询也是9个网站泄露)

 

朋友说:“查询结果和三年前一样,你觉得这三年来你的账号一次都没被泄露过?兴许只是新裤子还没添加到这些查询网站罢了。”

但愿Firefox 和Have I Been Pwned 这俩网站能保持及时更新吧。

换一批

延伸阅读

[新鲜事] Flash驰骋多年,今天被火狐浏览器屏蔽

Flash驰骋多年,今天被火狐浏览器屏蔽

三大流媒体视频播放器技术:Silverlight,Flash和HTML5的命运一直受业内人士关注,之前也报道了Silverlight技术,它已经被微软抛弃了,而驰骋多年的Flash,最近一直被各互联网公司封杀。Facebook新上任的网络安......

关键字:视频播放器 火狐浏览器 业内人士 网络安全 互联网

[测试测量] 高云半导体设立北美销售办事处加速拓展美洲业务

高云半导体设立北美销售办事处加速拓展美洲业务

美国加州圣何塞,2018年5月21日,国内领先的低功耗、小封装和性能驱动的现场可编程逻辑器件(FPGA)供应商广东高云半导体科技股份有限公司(如下简称“高云半导体”),近日宣布在硅谷设立北美销售办事处,以顺应北美地区在消费电子、通信、工业、......

关键字:半导体 技术开发

[大数据] 2018年全球人工智能商业价值将达到1.2兆美元

2018年全球人工智能商业价值将达到1.2兆美元

市场研究公司Gartner研究报告指出,人工智能(AI)衍生商业总价值将在2018年达到1.2兆美元,比2017年增长70%。预计到了2022年,人工智能的商业价值将达到3.9兆美元。......

关键字:人工智能 物联网 大数据

[单片机应用] 基于STM32闭环张力控制系统设计

基于STM32闭环张力控制系统设计

张力控制系统广泛应用于印刷等轻工业领域中,在收取和放卷材料时,为保证生产的质量及效率,保持恒定的张力是很重要的。在印刷过程中或者是印刷完成之后,最后的一道工序一般就是将加工物卷绕成筒状。......

关键字:闭环 控制系统 张力

[EDA] 高速PCB又叠层设计尽量使用多层电路板

高速PCB又叠层设计尽量使用多层电路板

在高速电路中推荐使用多层电路板。首先,多层电路板分配内层专门给电源和地,因此具有如下优点:· 电源非常稳定;· 电路阻抗大幅降低;· 配线长度大幅缩短。此外,从成本角度考虑,相同面积作成本比较时,虽然多层......

关键字:电路板 多层 PCB

[通信技术] 无线通信模组的射频性能测试,靠世强元件电商也可快速实现

无线通信模组的射频性能测试,靠世强元件电商也可快速实现

对于许多硬件工程师而言,配置软件而后进行产品性能测试,是有一定难度的,比如最近某公司做得一款无线通信模组,就出现了射频性能测试难的问题。 ......

关键字:无线通信 射频性能 世强元件

[半导体] 2017中国IC设计业成长22%,这三家引领全国

2017中国IC设计业成长22%,这三家引领全国

根据 TrendForce 最新研究报告指出,2017年中国IC设计业产值预估为达人民币2,006亿元,年增率为22%,预估2018年产值有望突破人民币2,400亿元,维持约20%的年增速。观察2017年中国IC设计产业发展,分析师指出......

关键字:IC设计 半导体 集成电路

我 要 评 论

网友评论

芯闻号

澳门必赢国际

更多

项目外包

更多

推荐博客