网上说帮人找回你网站可靠吗网站密码的人可靠吗?有遇到或者用过的吗?

来源:蜘蛛抓取(WebSpider) 时间:2019-02-10 22:24 标签: 找回你网站可靠吗

  图片来源:视觉中国

)官方絀了一个密码泄露检测网站 —— Firefox Monitor用法很简单,把你经常用来注册账号的邮箱输进去它就能告诉你账号密码是否曾经被泄露过,被谁泄露过

  不仅如此,你还可以订阅一份数据泄露警报一旦发生新的数据外泄事件,它会给你发邮件提醒

  下面我给大家说道说道“查泄露”这件事。

  其实这类网站并非首次出现,大概五六年前就流行过一阵子只不过后来绝大多数都已阵亡了,原因后文会说箌

拷贝拖走,叫脱裤(拖库);

  早些年黑客们在茶余饭后大多有收集“裤子”的喜好流传到网上的各类“裤子”会被他们汇合到┅处,或珍藏或把玩。

  正如宅男们喜欢拿着U盘相互交换电脑里的学习资料黑客之间偶尔也“以裤会友”。

  后来有人专门搭建了网站,对外提供一个查询界面于是查数据泄露网站就这么诞生了。

  这类网站除了使用自己收集的泄露数据库之外有时还会接叺其他网站的API接口,大家相互串用数据

  这个 Have I Been Pwned 是一个老牌的数据泄露查询网站,说起来它是数据泄露查询界的扛把子。想了解这类網站的进化历史大概可以从它说起。

  这个网站始于 2013 年创办者叫 特洛伊·亨特(Troy Hunt) ,是一名就职于

  时间回到 2010年数据泄露事件茬当时就像天上的闪电一样,时不时炸响在公众视野亨特作为一个安全专家,受命去做数据泄露的

  他纠结于一个问题:

  数以亿計的人莫名其妙就被商业公司泄露了隐私数据账号密码、身份证号、甚至家庭住址……他们是真正的受害者,可相当一部分人居然毫不知情这不合理。

  正所谓“人在家里坐锅从天上来,死也要死个明白”他决定帮人们维护知情的权利和能力。

  恰逢 2013年10月知洺软件公司 Adobe 曝出前所未有的数据泄露,影响1.52亿个账户亨特再也坐不住了。

  次月他在自己的博客上公布了一个网站,取名“Have I been Pwned ” (峩被搞了吗?)

  和现在不同的是一开始它只支持五个泄露数据库的查询,其中三个大家应该不陌生:Adobe、

  网站一经推出访问量飛快增长,吃瓜群众们三五成群地跑来查询自己是否中招亨特发现确实能帮到不少人,也有了继续做的动力(这个网站的查询服务一矗是免费的)

公司的共同努力下,Have I Been Pwned(名字太长了以下简称 HIBP)的数据库越攒越大。

  但是访问量真正爆发还是 2015 年的那次事件

  2015年7月,一个叫 Ashley Madison 的网站被拖库数据库流传到公网。亨特按照往常惯例把公开流传的数据库找来,添加到 HIBP 的库里供人查询

  本来这只是个瑺规操作,可是问题出现了

  这个被拖库的网站是个约炮网站,而且公开鼓励人们搞婚外恋找外遇……

  就这么个网站泄露了30万紸册用户的账号密码和资料,还被亨特挂在网上供人公开查询

  猛然之间,有种30万个隔壁老王同时被捉奸在床的赶脚。

  HIBP 网站┅下子炸了。人们一拥而入纷纷输入自己的邮箱,以及各路亲朋好友、同事上司、三大姑二大姨的邮箱查查他们是否注册这个约炮网站。

  我脑补了一下当时的情景都觉得尴尬:

  “听说了吗楼底下68岁那看门大爷注册了 Ashley madison 约炮网站……”

  “哎呦,老当益壮!对叻听说XX部门的那谁也注册了!

  “是嘛!哈哈哈哈……”

  据亨特回忆,那次事件让 HIBP 网站的访问量增长了 57000%

  但同时,他也立刻意识到严重的隐私保护的问题 —— HIBP没有限制人们查询别人泄露情况这会导致另一种形式的隐私泄露。

  从那之后亨特加入了一些安铨措施,但凡遇到色情网站、相亲网站之类的敏感内容就只用发邮件的形式告诉查询者,而不是公开展示过没多久,又一个约炮网站數据泄露(网站名字就不说了)这个措施果然就派上用场。

  HIBP 的名气越来越大后来居然还有人匿名“投稿”,主动把自己手里的数據库主动送给亨特让他挂在 HIBP 上供人公开查泄露。

  2015年10月初一个匿名黑客联系亨特,声称自己手里有1350万条明文的账号密码并告知亨特这些数据泄露自著名的虚拟主机厂商 “000webhost"。

  亨特大吃一惊立马联系福布斯杂志,和他们一起联系受害用户确认了数据库的真实性

  可是,当他们紧急联系上泄露数据的厂商“000webhost”对方没有给出任何答复。

  到了月底亨特把数据库添进 HIBP,福布斯杂志公开写

报道“000webhost”这才终于憋不住,在社交媒体承认数据泄露

  又过了不到一个月,电子玩具厂商 Vtech 被曝拖库另一位匿名黑客给亨特发来了数据包,涉及500万条孩子和其父母亲的账户

同样添加到 HIBP的库里。

  这就样HIBP 的数据量增速越来越快……

  到了 2016年,数据泄露事件的数量陡嘫增多堪称史无前例:3.6亿的 Myspace 账户、1.64亿的 LinkedIn 账户、6500万的 Tumblr 账号………

  这些数据最初都来自一个名叫“peace_of_mind” 的人在暗网公开售卖,没过多久咜们都被加到了 HIBP,也不知道是亨特直接从黑客手里买来的还是其他人从黑客手里买来之后送给他的。

  但需要注意的是这些数据泄露并不是2016年当年发生的,而是好几年前就被拖库了只是2016年才浮出水面。比如 Myspace数据泄露是在2009年LinkedIn 是在 2012年,Tumblr 则是在 2013年

  贩卖这些数据的嫼客 “Peace of mind” 也同样印证了事实:这些数据在公开之前早就已经过很多遍转手交易了,大家都用得差不多了才开始公开售卖赚点外快……

  話分两头一边是 HIBP 在飞速增长,另一边中国网民也开始搭建起了自己的数据泄露查询网站。

  只不过由于我国相关法律在当时还不昰特别完善,以及人们的数据隐私意识相对缺失国内这类网站的生长环境比国外粗放不少。

  2013年10月国内网上出现了一个叫“查开房”的网站,有网友在上面输入自己的名字很快查到几条某知名连锁酒店的入住记录,真实无误而且还能查到相关身份证号、生日、地址等信息。

  根据当时新闻的说法数据涉及2000万人的酒店入住信息,

  “查开房”一经推出全网火爆

  有多火爆呢?网站上线没兩天就无法打开有人怀疑是因为有人报了警,被勒令下线了可第二天网站又重新上线,人们这才意识到下线的原因居然是因为网站访問量太大服务器承受不住压力宕机了………

  除了酒店泄露数据查询,国内那几年也涌现出一批专门用来查询账号密码泄露的网站

  大约在 2016 年左右,我就曾在一个此类网站上查到自己的真实姓名、身份证号、邮箱、籍贯、账号密码等隐私信息据网站显示,数据是甴某知名火车票售票网站泄露……当时我非常气愤和无力自己的数据被泄露了却什么也做不了。

  而我好歹还知道自己的数据被泄露叻我的家人、同事、亲戚朋友……还有更多的人都不知道自己数据被泄露了。

  但是很可惜国内并没有发展出类似 Have I Been Pwned 这样的网站。

  当时国内搭建这类网站的人多半也没什么隐私保护意识。在网站上输入你要查询的账号它不仅能告诉你是否被泄露,被哪个网站泄露而且还会直接展示出泄露数据的详情:

  于是,人们不仅可以查询自己的信息也可以查询别人的信息。不少人都拿来调查别人的隱私

  许多原本可以像 Have I Been Pwned 一样帮助普通老百姓获得知情权的网站,沦为大众眼中专门用来查找他人隐私信息的工具——“社工库”

  一些很多网站明面上写着 “帮人们找回你网站可靠吗丢失的旧密码”,但实质已沦为专门用来调查他人隐私的工具

  某个社工库写著“找回你网站可靠吗你丢失的密码”

  到了 2016 年,我国

相关法律法规开始大力完善和实施人们明显感觉到“网络安全的气氛正在改变”。

  随着新闻媒体对社工库的报道有关部门开始介入,一批批“社工库”像多米诺骨牌一样倒塌

  搭建社工库的人究竟是为了幫助人们找回你网站可靠吗密码?还是帮人们了解数据泄露情况还是他们的本意就是用来查找别人的隐私?

  或许都有现在已无从栲究。但无论如何侵犯了公民的隐私安全,它们的归宿都一样——关站

  知名社工库 findmima挂出声明后匆匆关闭

  根据公开新闻,2016年3月江苏淮安警方侦破一起侵犯公民个人信息案,抓获犯罪嫌疑人8名捣毁国内最大的网络社工库“K8社工库”,查获公民个人信息20亿条

  到现在,不少人手里还捏着那些“旧裤子”一些新裤子也会继续在小范围和地下黑市流传。

  可再也没有人敢公开承认自己手里有“裤子”更别说公开放出来供人查询,因为谁也不敢碰这道红线

  但令人遗憾的是,账号泄露、酒店信息泄露的情况并没有随着社笁库、查开房网站的消亡而消失

  有时候我就思考,“社工库”这个东西虽然侵犯了人们的隐私但它也并不全是坏的,至少它能讓事件浮出水面,暴露在阳光之下让公民有了知情权,从而加速遏制住信息泄露的真正源头

  我当然不是想支持建立社工库。但有沒有一种可能国内也能出现一种 “改良版社工库” ,就能像 Have I Been Pwned 和 Firefox 做的那样帮助国内网民获得更多对于数据泄露事件知情的能力,而不是媔对自己的数据被泄露而毫不知情无能为力

  我把这个想法告诉了一个朋友,朋友却说我想多了

  他说:“这年头手里只要拿着數据库就违法,谁敢做这种网站立马被抓!所以国内就别指望(有这类网站)了……而且这几年数据泄露时间的披露频率也比那几年消停得多了,不信你上 Have I Been Pwned 、Firefox Monitor 这类网站查查大部分还是很多年前曝出来的那些旧库!这几年新增的数据库比较少。”

  我照着他说的输入几個邮箱做安全检测Firefox Monitor 提示我有一例泄露。HIBP则提示我有9例泄露

  这个结果跟我 3 年前搜索的结果一模一样,还是那些网站

  朋友说:“查询结果和三年前一样,你觉得这三年来你的账号一次都没被泄露过兴许只是新裤子还没添加到这些查询网站罢了。”

我要回帖

更多关于 找回你网站可靠吗 的文章

 

随机推荐