Have I Been Pwned(HIBP)数据泄露通知服务近日新增了 2.84 亿个被信息窃取木马(infostealer)窃取的账户。这些账户数据是在一个名为“ALIEN TXTBASE”的 Telegram 频道中被发现的。
HIBP 的创始人 Troy Hunt 表示,在分析 1.5TB 的窃取日志时,他发现了 284,132,969 个被泄露的账户。这些日志可能来自多个来源,并在 Telegram 频道上共享。他在一篇博客中写道:“这些日志包含 230 亿行数据,涉及 4.93 亿个独特的网站和电子邮件地址组合,影响了 2.84 亿个唯一的电子邮件地址。”此外,Hunt 还提到:“我们还向 Pwned Passwords 数据库中添加了 2.44 亿个之前从未见过的密码,并更新了数据库中已有的 1.99 亿个密码的计数。”
由于这批数据规模庞大,可能包含通过凭证填充攻击和数据泄露窃取的旧凭证和新凭证。在将这些被盗账户添加到 HIBP 数据库之前,Troy 通过尝试使用被盗电子邮件地址进行密码重置来确认其真实性,确保服务能够发送密码重置邮件。
新 API 助力组织识别恶意活动
HIBP 近期新增了 API 功能,允许用户每分钟进行多达 1000 次电子邮件地址搜索和窃取日志查询。域名所有者和网站运营商(按月订阅付费)现在可以通过电子邮件域名或网站域名查询新增的窃取日志,从而识别出哪些客户的凭证被盗。
当被问及普通用户是否也能查询自己的账户是否出现在 ALIEN TXTBASE 的窃取日志中时,Troy 表示,如果他们订阅了 HIBP 的通知服务,是可以查询到的。但他补充道:“但只有当用户使用通知服务验证他们的地址时,才能显示他们的凭证在哪些网站被窃取。我不希望公开这些信息,因为这可能会暴露敏感服务的使用情况。”
Troy 还强调:“这些新 API 的引入将最终帮助许多组织识别恶意活动的源头,更重要的是,能够在恶意活动造成损害之前提前阻止它。”
HIBP 的历史数据泄露记录
2021 年 12 月,HIBP 曾添加了 44.1 万个通过 RedLine 恶意软件窃取的账户。RedLine 是当时最广泛使用的信息窃取木马之一。这些数据是在一台未受保护的服务器上发现的,暴露了 2021 年 8 月和 9 月期间收集的超过 600 万条 RedLine 日志。
更近期的,本月早些时候,HIBP 还添加了 1200 万 Zacks Investment 用户的账户信息。这些用户的敏感数据(包括姓名、用户名、电子邮件地址、IP 地址、物理地址和电话号码)在一次安全漏洞中被泄露。两年前的 2023 年 6 月,HIBP 还添加了另一个数据库,其中包含 880 万使用 Zacks 平台用户的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名等信息。
通过持续更新和扩展数据库,HIBP 为用户和组织提供了更多工具来应对日益复杂的数据泄露问题。
参考来源:
Have I Been Pwned adds 284M accounts stolen by infostealer malware
