火狐出了個密碼泄露檢測工具，希望它不只是心理安慰

天下 12-03

文章轉載自公眾號：淺黑科技

ID：qianheikeji

最近 Firefox（火狐瀏覽器）官方出了一個密碼泄露檢測網站 —— Firefox Monitor。用法很簡單，把你經常用來註冊賬號的郵箱輸進去，它就能告訴你賬號密碼是否曾經被泄露過，被誰泄露過。

不僅如此，你還可以訂閱一份數據泄露警報，一旦發生新的數據外泄事件，它會給你發郵件提醒。

下面我給大家說道說道「查泄露」這件事。

Let"s Rock ！

其實，這類網站並非首次出現，大概五六年前就流行過一陣子，只不過後來絕大多數都已陣亡了，原因後文會說到。

它的原理不複雜：

一個網站的資料庫被黑客拷貝拖走，叫脫褲（拖庫）；

早些年黑客們在茶餘飯後大多有收集「褲子」的喜好。流傳到網上的各類「褲子」會被他們匯合到一處，或珍藏，或把玩。

正如宅男們喜歡拿著 U 盤相互交換電腦里的學習資料，黑客之間偶爾也「以褲會友」。

（提褲邀明月，對影成三人）

後來，有人專門搭建了網站，對外提供一個查詢界面，於是查數據泄露網站就這麼誕生了。

這類網站除了使用自己收集的泄露資料庫之外，有時還會接入其他網站的API介面，大家相互串用數據。

比如，在火狐的 Firefox Mnitor 上查詢一個結果，它會顯示「泄露數據由 Have I Been Pwned 提供」。

顯然它調用了「 Have I Been Pwned 」的數據介面。

這個 Have I Been Pwned 是一個老牌的數據泄露查詢網站，說起來，它是數據泄露查詢界的扛把子。想了解這類網站的進化歷史，大概可以從它說起。

網址是：haveibeenpwned.com

這個網站始於 2013 年，創辦者叫特洛伊·亨特（ Troy Hunt ），是一名就職於微軟的高級安全專家。

時間回到 2010 年，數據泄露事件在當時就像天上的閃電一樣，時不時炸響在公眾視野。亨特作為一個安全專家，受命去做數據泄露的技術研判和趨勢分析工作。

他糾結於一個問題：

數以億計的人莫名其妙就被商業公司泄露了隱私數據，賬號密碼、身份證號、甚至家庭住址……他們是真正的受害者，可相當一部分人居然毫不知情？這不合理。

正所謂「人在家裡坐，鍋從天上來，死也要死個明白」，他決定幫人們維護知情的權利和能力。

恰逢 2013 年 10 月，知名軟體公司 Adobe 曝出前所未有的數據泄露，影響 1.52 億個賬戶，亨特再也坐不住了。

次月，他在自己的博客上公布了一個網站，取名「 Have I been Pwned ？」（我被搞了嗎？）

如今全球最出名的泄露查詢網站就這麼誕生了！

2013年第一版首頁的樣子

和現在不同的是，一開始它只支持五個泄露資料庫的查詢，其中三個大家應該不陌生：Adobe、雅虎、索尼

網站一經推出，訪問量飛快增長，吃瓜群眾們三五成群地跑來查詢自己是否中招。亨特發現確實能幫到不少人，也有了繼續做的動力。（這個網站的查詢服務一直是免費的）

在他和眾多互聯網公司的共同努力下，Have I Been Pwned（名字太長了，以下簡稱 HIBP ）的資料庫越攢越大。

但是訪問量真正爆發還是 2015 年的那次事件。

2015 年 7 月，一個叫 Ashley Madison 的網站被拖庫，資料庫流傳到公網。亨特按照往常慣例，把公開流傳的資料庫找來，添加到 HIBP 的庫里供人查詢。

本來這只是個常規操作，可是問題出現了。

這個被拖庫的網站是個約炮網站，而且公開鼓勵人們搞婚外戀，找外遇……

它的口號是：Life is short ,Have an affair ——人生苦短，尋些樂子！

就這麼個網站泄露了 30 萬註冊用戶的賬號密碼和資料，還被亨特掛在網上供人公開查詢。

猛然之間，有種 30 萬個隔壁老王同時被捉姦在床的趕腳。。。

HIBP 網站一下子炸了。人們一擁而入，紛紛輸入自己的郵箱，以及各路親朋好友、同事上司、三大姑二大姨的郵箱，查查他們是否註冊這個約炮網站。

我腦補了一下當時的情景都覺得尷尬：

「聽說了嗎？樓底下 68 歲那看門大爺註冊了 Ashley madison 約炮網站……」

「哎呦，老當益壯！對了，聽說XX部門的那誰也註冊了！」

「是嘛！哈哈哈哈……」

據亨特回憶，那次事件讓 HIBP 網站的訪問量增長了 57000%。

但同時，他也立刻意識到嚴重的隱私保護的問題 —— HIBP沒有限制人們查詢別人泄露情況，這會導致另一種形式的隱私泄露。

從那之後，亨特加入了一些安全措施，但凡遇到色情網站、相親網站之類的敏感內容，就只用發郵件的形式告訴查詢者，而不是公開展示。過沒多久，又一個約炮網站數據泄露（網站名字就不說了），這個措施果然就派上用場。

HIBP 的名氣越來越大，後來居然還有人匿名「投稿」，主動把自己手裡的資料庫主動送給亨特，讓他掛在 HIBP 上供人公開查泄露。

2015 年 10 月初，一個匿名黑客聯繫亨特，聲稱自己手裡有 1350 萬條明文的賬號密碼，並告知亨特這些數據泄露自著名的虛擬主機廠商「 000webhost 」。

亨特大吃一驚，立馬聯繫福布斯雜誌，和他們一起聯繫受害用戶確認了資料庫的真實性。

可是，當他們緊急聯繫上泄露數據的廠商「 000webhost 」，對方沒有給出任何答覆。

到了月底，亨特把資料庫添進 HIBP，福布斯雜誌公開寫文章報道，「 000webhost 」這才終於憋不住，在社交媒體承認數據泄露。

又過了不到一個月，電子玩具廠商 Vtech 被曝拖庫，另一位匿名黑客給亨特發來了數據包，涉及 500 萬條孩子和其父母親的賬戶記錄，同樣添加到 HIBP 的庫里。

這就樣，HIBP 的數據量增速越來越快。。。

到了 2016 年，數據泄露事件的數量陡然增多，堪稱史無前例：3.6 億的 Myspace 賬戶、1.64 億的 LinkedIn 賬戶、6500 萬的 Tumblr 賬號。。。

這些數據最初都來自一個名叫「 peace_of_mind 」的人在暗網公開售賣，沒過多久，它們都被加到了 HIBP，也不知道是亨特直接從黑客手裡買來的，還是其他人從黑客手裡買來之後送給他的。

但需要注意的是，這些數據泄露並不是 2016 年當年發生的，而是好幾年前就被拖庫了，只是 2016 年才浮出水面。比如 Myspace數據泄露是在 2009 年，LinkedIn 是在 2012 年，Tumblr 則是在 2013 年。

販賣這些數據的黑客「 Peace of mind 」也同樣印證了事實：這些數據在公開之前早就已經過很多遍轉手交易了，大家都用得差不多了才開始公開售賣賺點外快。。。

話分兩頭。一邊是 HIBP 在飛速增長，另一邊，中國網民也開始搭建起了自己的數據泄露查詢網站。

只不過，由於我國相關法律在當時還不是特別完善，以及人們的數據隱私意識相對缺失，國內這類網站的生長環境比國外粗放不少。

2013 年 10 月，國內網上出現了一個叫「查開房」的網站，有網友在上面輸入自己的名字，很快查到幾條某知名連鎖酒店的入住記錄，真實無誤。而且還能查到相關身份證號、生日、地址等信息。

根據當時新聞的說法，數據涉及 2000 萬人的酒店入住信息，

當時的新聞圖片有點糊了，大家將就看吧

「查開房」一經推出全網火爆。

有多火爆呢？網站上線沒兩天就無法打開，有人懷疑是因為有人報了警，被勒令下線了，可第二天網站又重新上線，人們這才意識到下線的原因居然是因為網站訪問量太大，伺服器承受不住壓力宕機了。。。

除了酒店泄露數據查詢，國內那幾年也湧現出一批專門用來查詢賬號密碼泄露的網站。

大約在 2016 年左右，我就曾在一個此類網站上查到自己的真實姓名、身份證號、郵箱、籍貫、賬號密碼等隱私信息。據網站顯示，數據是由某知名火車票售票網站泄露。。。當時我非常氣憤和無力，自己的數據被泄露了卻什麼也做不了。

而我好歹還知道自己的數據被泄露了，我的家人、同事、親戚朋友……還有更多的人都不知道自己數據被泄露了。

圖片源自網路，當時流傳的某火車票售票網的數據，不知真假

但是很可惜，國內並沒有發展出類似 Have I Been Pwned 這樣的網站。

當時國內搭建這類網站的人，多半也沒什麼隱私保護意識。在網站上輸入你要查詢的賬號，它不僅能告訴你是否被泄露，被哪個網站泄露，而且還會直接展示出泄露數據的詳情：

許多查詢網站都直接顯示賬號密碼

於是，人們不僅可以查詢自己的信息，也可以查詢別人的信息。不少人都拿來調查別人的隱私。

許多原本可以像 Have I Been Pwned 一樣幫助普通老百姓獲得知情權的網站，淪為大眾眼中專門用來查找他人隱私信息的工具——「社工庫」。

一些很多網站明面上寫著「幫人們找回丟失的舊密碼」，但實質已淪為專門用來調查他人隱私的工具。

某個社工庫寫著「找回你丟失的密碼」

到了 2016 年，我國網路安全相關法律法規開始大力完善和實施，人們明顯感覺到「網路安全的氣氛正在改變」。

隨著新聞媒體對社工庫的報道，有關部門開始介入，一批批「社工庫」像多米諾骨牌一樣倒塌。

搭建社工庫的人究竟是為了幫助人們找回密碼？還是幫人們了解數據泄露情況？還是他們的本意就是用來查找別人的隱私？

或許都有，現在已無從考究。但無論如何，侵犯了公民的隱私安全，它們的歸宿都一樣——關站。

知名社工庫 findmima 掛出聲明後匆匆關閉

根據公開新聞，2016 年 3 月，江蘇淮安警方偵破一起侵犯公民個人信息案，抓獲犯罪嫌疑人 8 名，搗毀國內最大的網路社工庫「K8社工庫」，查獲公民個人信息 20 億條。

到現在，不少人手裡還捏著那些「舊褲子」，一些新褲子也會繼續在小範圍和地下黑市流傳。

可再也沒有人敢公開承認自己手裡有「褲子」，更別說公開放出來供人查詢，因為誰也不敢碰這道紅線。

但令人遺憾的是，賬號泄露、酒店信息泄露的情況並沒有隨著社工庫、查開房網站的消亡而消失。

圖片截取自百度搜索結果頁面

有時候我就思考，「社工庫」這個東西雖然侵犯了人們的隱私，但它也並不全是壞的，至少，它能讓事件浮出水面，暴露在陽光之下，讓公民有了知情權，從而加速遏制住信息泄露的真正源頭。

我當然不是想支持建立社工庫。但有沒有一種可能，國內也能出現一種「改良版社工庫」，就能像 Have I Been Pwned 和 Firefox 做的那樣，幫助國內網民獲得更多對於數據泄露事件知情的能力，而不是面對自己的數據被泄露而毫不知情無能為力？

我把這個想法告訴了一個朋友，朋友卻說我想多了。

他說：「這年頭手裡只要拿著資料庫就違法，誰敢做這種網站立馬被抓！所以國內就別指望（有這類網站）了。。。而且，這幾年數據泄露時間的披露頻率也比那幾年消停得多了，不信你上 Have I Been Pwned 、Firefox Monitor 這類網站查查，大部分還是很多年前曝出來的那些舊庫！這幾年新增的資料庫比較少。」

我照著他說的輸入幾個郵箱做安全檢測，Firefox Monitor 提示我有一例泄露。HIBP 則提示我有 9 例泄露。

這個結果跟我 3 年前搜索的結果一模一樣，還是那些網站。

提示我賬號挺安全