含4200万份邮件和密码的文件被暴露在免费托管服务上

翻译：360代码卫士团队

一个包含明文邮件地址、密码和部分信用卡数据的庞大数据库被上传至一个免费的公共托管服务中。

明文形式的唯一邮件地址和密码总数为 41,826,763个，它们均被上传至你明文件托管服务 kayo.moe 上。

该共享服务的运营人员将数据发送给澳大利亚安全研究员和 Have I Been Pwned 数据泄露检索网站创始人 Troy Hunt，判断是否是未知的数据泄露事件。

从数据格式来看，Hunt 认为这些列表很可能是为发动凭证填充攻击做准备。这类攻击将被破解密码和邮件地址组合成一个列表并自动在在线服务上运行以劫持匹配的用户账户。这类攻击利用的是用户为达到方便目的而可能在多个站点上复用凭证的情况。

Hunt 在博客文章中指出，“当我从文件中提取出邮件地址后发现近42M 唯一值。我测试了一个样本后发现89% 已经存在于 HIBP 网站上，说明有大量此前未曾出现过的数据（加载整个数据集后，整个数字上升至93%。）”

Hunt 表示数据集中的文件名称并不指向某个具体的来源，因为数据泄露格式不一致。

多年来，安全研究员一直都在建议用户摒弃复用密码的习惯，尤其是为了避免凭证填充攻击更是如此。

网络犯罪分子每天都在交易凭证数据库，而且不仅在暗网还在公开可访问的论坛上交易。他们依靠自动化进程破解密码并在网络服务中进行测试。

使用密码管理器可为所访问的每个站点都生成强大的唯一密码，尽可能地开启双因素认证机制都是抵御这类攻击的好办法。

原文链接

https://www.bleepingcomputer.com/news/security/files-with-42-million-emails-and-passwords-found-on-free-hosting-service/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。