火狐出了個密碼泄露檢測工具,希望它不只是心理安慰
文章轉載自公眾號:淺黑科技
ID:qianheikeji
最近 Firefox( 火狐瀏覽器 )官方出了一個密碼泄露檢測網站 —— Firefox Monitor。用法很簡單,把你經常用來註冊賬號的郵箱輸進去,它就能告訴你賬號密碼是否曾經被泄露過,被誰泄露過。
不僅如此,你還可以訂閱一份數據泄露警報,一旦發生新的數據外泄事件,它會給你發郵件提醒。
下面我給大家說道說道 「 查泄露 」 這件事。
Let"s Rock !
其實,這類網站並非首次出現,大概五六年前就流行過一陣子,只不過後來絕大多數都已陣亡了,原因後文會說到。
它的原理不複雜:
一個網站的資料庫被黑客拷貝拖走,叫脫褲( 拖庫 );
早些年黑客們在茶餘飯後大多有收集 「 褲子 」 的喜好。流傳到網上的各類 「 褲子 」 會被他們匯合到一處,或珍藏,或把玩。
正如宅男們喜歡拿著 U 盤相互交換電腦里的學習資料,黑客之間偶爾也 「 以褲會友 」。
( 提褲邀明月,對影成三人 )
後來,有人專門搭建了網站,對外提供一個查詢界面,於是查數據泄露網站就這麼誕生了。
這類網站除了使用自己收集的泄露資料庫之外,有時還會接入其他網站的API介面,大家相互串用數據。
比如,在火狐的 Firefox Mnitor 上查詢一個結果,它會顯示 「 泄露數據由 Have I Been Pwned 提供 」。
顯然它調用了 「 Have I Been Pwned 」 的數據介面。
這個 Have I Been Pwned 是一個老牌的數據泄露查詢網站,說起來,它是數據泄露查詢界的扛把子。想了解這類網站的進化歷史,大概可以從它說起。
網址是:haveibeenpwned.com
這個網站始於 2013 年,創辦者叫 特洛伊·亨特( Troy Hunt ),是一名就職於微軟的高級安全專家。
時間回到 2010 年,數據泄露事件在當時就像天上的閃電一樣,時不時炸響在公眾視野。亨特作為一個安全專家,受命去做數據泄露的技術研判和趨勢分析工作。
他糾結於一個問題:
數以億計的人莫名其妙就被商業公司泄露了隱私數據,賬號密碼、身份證號、甚至家庭住址……他們是真正的受害者,可相當一部分人居然毫不知情?這不合理。
正所謂 「 人在家裡坐,鍋從天上來,死也要死個明白 」,他決定幫人們維護知情的權利和能力。
恰逢 2013 年 10 月,知名軟體公司 Adobe 曝出前所未有的數據泄露,影響 1.52 億個賬戶,亨特再也坐不住了。
次月,他在自己的博客上公布了一個網站,取名 「 Have I been Pwned ?」( 我被搞了嗎?)
如今全球最出名的泄露查詢網站就這麼誕生了!
2013年第一版首頁的樣子
和現在不同的是,一開始它只支持五個泄露資料庫的查詢,其中三個大家應該不陌生:Adobe、雅虎、索尼
網站一經推出,訪問量飛快增長,吃瓜群眾們三五成群地跑來查詢自己是否中招。亨特發現確實能幫到不少人,也有了繼續做的動力。( 這個網站的查詢服務一直是免費的 )
在他和眾多互聯網公司的共同努力下,Have I Been Pwned( 名字太長了,以下簡稱 HIBP )的資料庫越攢越大。
但是訪問量真正爆發還是 2015 年的那次事件。
2015 年 7 月,一個叫 Ashley Madison 的網站被拖庫,資料庫流傳到公網。亨特按照往常慣例,把公開流傳的資料庫找來,添加到 HIBP 的庫里供人查詢。
本來這只是個常規操作,可是問題出現了。
這個被拖庫的網站是個約炮網站,而且公開鼓勵人們搞婚外戀,找外遇……
它的口號是:Life is short ,Have an affair ——人生苦短,尋些樂子!
就這麼個網站泄露了 30 萬註冊用戶的賬號密碼和資料,還被亨特掛在網上供人公開查詢。
猛然之間,有種 30 萬個隔壁老王同時被捉姦在床的趕腳。。。
HIBP 網站一下子炸了。人們一擁而入,紛紛輸入自己的郵箱,以及各路親朋好友、同事上司、三大姑二大姨的郵箱,查查他們是否註冊這個約炮網站。
我腦補了一下當時的情景都覺得尷尬:
「 聽說了嗎?樓底下 68 歲那看門大爺註冊了 Ashley madison 約炮網站……」
「 哎呦,老當益壯!對了,聽說XX部門的那誰也註冊了!」
「 是嘛!哈哈哈哈……」
據亨特回憶,那次事件讓 HIBP 網站的訪問量增長了 57000%。
但同時,他也立刻意識到嚴重的隱私保護的問題 —— HIBP沒有限制人們查詢別人泄露情況,這會導致另一種形式的隱私泄露。
從那之後,亨特加入了一些安全措施,但凡遇到色情網站、相親網站之類的敏感內容,就只用發郵件的形式告訴查詢者,而不是公開展示。過沒多久,又一個約炮網站數據泄露( 網站名字就不說了 ),這個措施果然就派上用場。
HIBP 的名氣越來越大,後來居然還有人匿名 「 投稿 」,主動把自己手裡的資料庫主動送給亨特,讓他掛在 HIBP 上供人公開查泄露。
2015 年 10 月初,一個匿名黑客聯繫亨特,聲稱自己手裡有 1350 萬條明文的賬號密碼,並告知亨特這些數據泄露自著名的虛擬主機廠商 「 000webhost 」。
亨特大吃一驚,立馬聯繫福布斯雜誌,和他們一起聯繫受害用戶確認了資料庫的真實性。
可是,當他們緊急聯繫上泄露數據的廠商 「 000webhost 」,對方沒有給出任何答覆。
到了月底,亨特把資料庫添進 HIBP,福布斯雜誌公開寫文章報道,「 000webhost 」 這才終於憋不住,在社交媒體承認數據泄露。
又過了不到一個月,電子玩具廠商 Vtech 被曝拖庫,另一位匿名黑客給亨特發來了數據包,涉及 500 萬條孩子和其父母親的賬戶記錄,同樣添加到 HIBP 的庫里。
這就樣,HIBP 的數據量增速越來越快。。。
到了 2016 年,數據泄露事件的數量陡然增多,堪稱史無前例:3.6 億的 Myspace 賬戶、1.64 億的 LinkedIn 賬戶、6500 萬的 Tumblr 賬號。。。
這些數據最初都來自一個名叫 「 peace_of_mind 」 的人在暗網公開售賣,沒過多久,它們都被加到了 HIBP,也不知道是亨特直接從黑客手裡買來的,還是其他人從黑客手裡買來之後送給他的。
但需要注意的是,這些數據泄露並不是 2016 年當年發生的,而是好幾年前就被拖庫了,只是 2016 年才浮出水面。比如 Myspace數據泄露是在 2009 年,LinkedIn 是在 2012 年,Tumblr 則是在 2013 年。
販賣這些數據的黑客 「 Peace of mind 」 也同樣印證了事實:這些數據在公開之前早就已經過很多遍轉手交易了,大家都用得差不多了才開始公開售賣賺點外快。。。
話分兩頭。一邊是 HIBP 在飛速增長,另一邊,中國網民也開始搭建起了自己的數據泄露查詢網站。
只不過,由於我國相關法律在當時還不是特別完善,以及人們的數據隱私意識相對缺失,國內這類網站的生長環境比國外粗放不少。
2013 年 10 月,國內網上出現了一個叫 「 查開房 」 的網站,有網友在上面輸入自己的名字,很快查到幾條某知名連鎖酒店的入住記錄,真實無誤。而且還能查到相關身份證號、生日、地址等信息。
根據當時新聞的說法,數據涉及 2000 萬人的酒店入住信息,
當時的新聞圖片有點糊了,大家將就看吧
「 查開房 」 一經推出全網火爆。
有多火爆呢?網站上線沒兩天就無法打開,有人懷疑是因為有人報了警,被勒令下線了,可第二天網站又重新上線,人們這才意識到下線的原因居然是因為網站訪問量太大,伺服器承受不住壓力宕機了。。。
除了酒店泄露數據查詢,國內那幾年也湧現出一批專門用來查詢賬號密碼泄露的網站。
大約在 2016 年左右,我就曾在一個此類網站上查到自己的真實姓名、身份證號、郵箱、籍貫、賬號密碼等隱私信息。據網站顯示,數據是由某知名火車票售票網站泄露。。。當時我非常氣憤和無力,自己的數據被泄露了卻什麼也做不了。
而我好歹還知道自己的數據被泄露了,我的家人、同事、親戚朋友……還有更多的人都不知道自己數據被泄露了。
圖片源自網路,當時流傳的某火車票售票網的數據,不知真假
但是很可惜,國內並沒有發展出類似 Have I Been Pwned 這樣的網站。
當時國內搭建這類網站的人,多半也沒什麼隱私保護意識。在網站上輸入你要查詢的賬號,它不僅能告訴你是否被泄露,被哪個網站泄露,而且還會直接展示出泄露數據的詳情:
許多查詢網站都直接顯示賬號密碼
於是,人們不僅可以查詢自己的信息,也可以查詢別人的信息。不少人都拿來調查別人的隱私。
許多原本可以像 Have I Been Pwned 一樣幫助普通老百姓獲得知情權的網站,淪為大眾眼中專門用來查找他人隱私信息的工具——「社工庫」。
一些很多網站明面上寫著 「 幫人們找回丟失的舊密碼 」,但實質已淪為專門用來調查他人隱私的工具。
某個社工庫寫著 「 找回你丟失的密碼 」
到了 2016 年,我國網路安全相關法律法規開始大力完善和實施,人們明顯感覺到 「 網路安全的氣氛正在改變 」。
隨著新聞媒體對社工庫的報道,有關部門開始介入,一批批 「 社工庫 」 像多米諾骨牌一樣倒塌。
搭建社工庫的人究竟是為了幫助人們找回密碼?還是幫人們了解數據泄露情況?還是他們的本意就是用來查找別人的隱私?
或許都有,現在已無從考究。但無論如何,侵犯了公民的隱私安全,它們的歸宿都一樣——關站。
知名社工庫 findmima 掛出聲明後匆匆關閉
根據公開新聞,2016 年 3 月,江蘇淮安警方偵破一起侵犯公民個人信息案,抓獲犯罪嫌疑人 8 名,搗毀國內最大的網路社工庫「K8社工庫」,查獲公民個人信息 20 億條。
到現在,不少人手裡還捏著那些 「 舊褲子 」,一些新褲子也會繼續在小範圍和地下黑市流傳。
可再也沒有人敢公開承認自己手裡有 「 褲子 」,更別說公開放出來供人查詢,因為誰也不敢碰這道紅線。
但令人遺憾的是,賬號泄露、酒店信息泄露的情況並沒有隨著社工庫、查開房網站的消亡而消失。
圖片截取自百度搜索結果頁面
有時候我就思考,「 社工庫 」 這個東西雖然侵犯了人們的隱私,但它也並不全是壞的,至少,它能讓事件浮出水面,暴露在陽光之下,讓公民有了知情權,從而加速遏制住信息泄露的真正源頭。
我當然不是想支持建立社工庫。但有沒有一種可能,國內也能出現一種 「 改良版社工庫 」 ,就能像 Have I Been Pwned 和 Firefox 做的那樣,幫助國內網民獲得更多對於數據泄露事件知情的能力,而不是面對自己的數據被泄露而毫不知情無能為力?
我把這個想法告訴了一個朋友,朋友卻說我想多了。
他說:「 這年頭手裡只要拿著資料庫就違法,誰敢做這種網站立馬被抓!所以國內就別指望( 有這類網站 )了。。。而且,這幾年數據泄露時間的披露頻率也比那幾年消停得多了,不信你上 Have I Been Pwned 、Firefox Monitor 這類網站查查,大部分還是很多年前曝出來的那些舊庫!這幾年新增的資料庫比較少。」
我照著他說的輸入幾個郵箱做安全檢測,Firefox Monitor 提示我有一例泄露。HIBP 則提示我有 9 例泄露。
這個結果跟我 3 年前搜索的結果一模一樣,還是那些網站。
提示我賬號挺安全
我在 3 年前查詢也是 9 個網站泄露
朋友說:「 查詢結果和三年前一樣,你覺得這三年來你的賬號一次都沒被泄露過?興許只是新褲子還沒添加到這些查詢網站罷了。」
但願 Firefox 和 Have I Been Pwned 這倆網站能保持及時更新吧。
「 感覺底褲都快被人脫了。。」
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※這些人把遊戲玩到遊戲開發者都看不下去了……
※城市車貼鄙視鏈
TAG:差評 |