近日有網絡保安專家在互聯網上發現一個巨大的資料庫,包含超過 7 億個獨立電郵地址和 11 億組登入和密碼組合,研究人員稱它為「Collection #1」,資料來源最久可以追溯至 2008,並提供一個網站讓用戶自行檢查自己是否受事件影響。
從多個資料外洩事故中收集資料
資料外洩事故長年以來一直發生,近年發出現大型外洩的事故,而「Collection #1」資料庫就是其幕後黑手長年累月收集這些外洩的資料,再製作成為具有登入資料和密碼的資料庫,而且更有人嘗試在每次發生資料外洩事故時更新資料庫,結果造成超巨型的資料庫,研究人員以「Collection #1」稱呼它。
Collection #1 並非由單一的巨型資料事故所組成 (例如 Yahoo 數十億用戶登入資料失竊事件),反而是從超過 2000 宗其他資料外洩事件中收集有關資料,最久遠的事故可以追溯至 2008 年,最新則有近期的事故。但令人驚訝的是,Collection #1 似乎並不包括人所共知的資料外洩事故資料,例如 LinkedIn 在 2012 年和 Yahoo 的兩次資料外洩事故。
自己檢查是否「Collection #1」受害者
通常最多人關心的問題是自己是否事件的受害人,大家可以自行到 haveibeenpwned.com 檢查,輸入想檢查的電郵地址,如果該電郵地址已包含在資料庫之內,該網站就會向用戶發上提醒。如果用戶不幸是「Collection #1」內其中一份子,就可能需要作進一步的考慮,以防止「火燒連環船」事件發生,如果不在該資料庫內,則恭喜閣下可以置身事外。
受害者可以做甚麼自保?
如果不幸自己的資料在 Collection #1 之內,用戶當然要想辦法自保,然而該網站並不會告訴用戶資料來自哪個網站,是購物網站還是網上討論區,又或者其他來源,受影響的帳號可能是單數也可能是複數,情況視乎用戶是否單一密碼重複地方使用。
選擇一:如果用戶使用一條密碼使用在多個帳號,而且與該電郵地址連結的話,用戶可能會相當麻煩,為了確保安全性,用戶可能需要逐個帳號更改密碼,每條密碼有足夠長度和獨一無二。不過用戶一條密碼重複不同地方使用,主因都是難以記住多條複雜的密碼,所以應該趁機會考慮密碼管理的工具。
選擇二:如果只有一條密碼與相關電郵有關連,用戶便幸福的多,用戶可以考慮也同樣更改密碼,又或者透過 Pwned Passwords 的另一個功能,輸入密碼或Hash檢查有關的字串是否收錄在 Collection #1 之內。如果用戶發現自己的密碼出現至少一次,便應該考慮更改密碼,如果密碼並不在資料庫內就是好消息了。當然,如果對於該網站有懷疑,不想輸入自己的密碼的話,可以嘗試貼上密碼的 SHA-1 Hash 用作檢查,得到的結果與輸入密碼十分相似,網絡上有不少資源可以協助 (Google一下便找到),這樣就不用向同一網站同時披露電郵和密碼。
一般的安全建議
過去幾年資料外洩事故屢見不鮮,而且估計未來亦會繼續發生,所以大型資料庫如 Collection #1 會一直流傳,而不法份子也樂於利用相關資料進入他人的帳號,為了令相關事件的傷害減至最低,大家可以:
.每個帳號都使用足夠長度和唯一的密碼,如果該服務的資料外洩,只需要更換一組密碼。
.盡可能開啟雙重認證功能,這樣黑客即使持有密碼也無法登入用戶的帳號。
.使用密碼管理工具為每個帳號產生唯一而強力的密碼而無而全部記住,在更加密碼時也能夠更快速地完成,Kaspersky Total Security 內的 Password Manager 令事情更有效率。