关于隐私泄露相关的话题过去几年我写过不少,感兴趣的可以翻看我历史文章,这里再继续八卦八卦吧,让不懂的人开开眼。
最近两个站点特别火:
leakedsource.com
截止目前已经收集了 18 亿多的用户隐私记录,这些记录如图:
LinkedIn、MySpace、Badoo、VK、Twitter,哪个不是重量级,出现一个,全球风波一轮,用户的小心脏啊...
看看这几个的密码策略:
LinkedIn - SHA1 不加盐
MySpace - SHA1 不加盐
Badoo - MD5 不加盐
VK - 明文密码
Twitter - 明文密码,不过这个明文来自用户浏览器本地保存的明文,由于感染了恶意软件,导致这些密码被偷,Twitter 本身是密文加密的
科普:一般来说,密码加盐(salt,如一个随机字符串)是普遍的安全措施,能防止密码被轻易破解。如果不加盐,那么通过足够大的彩虹表与计算是可以轻易破解的
haveibeenpwned.com
这个站点收集了更多,如图:
放眼望去,都是国外的,那么国内的呢?恩...等等,列不下,这里就不列了...再等等,有没有更多更多的隐私库?有啊,但是我现在暂时不八卦,有机会未来继续第二篇。
这么多隐私库泄露,都是怎么泄露的?大概总结如下:
目标网站因为漏洞被拖库
目标网站出现内鬼,直接把库带出来
目标网站出现 XSS/CSRF 等类型的蠕虫,通过蠕虫传播得到一堆隐私
目标网站的目标用户被大规模钓鱼,通过钓鱼得到一堆隐私
目标网站的大量用户终端感染了恶意软件,得到目标网站隐私(包括保存在浏览器本地的明文密码)
上条的终端恶意软件更换为浏览器恶意扩展,效果一样
目标网站的用户上网流量被各种神神秘秘的中间人劫持,得到目标网站隐私(可能包括传输过程中的明文密码)
目标网站的第三方流行应用被拖库,间接导致
目标网站被撞库
...
这么多隐私库,黑客到底能怎样?见我两年多前写的文章:如果你掌握「隐私武器」。
我们该怎么办?见我前些天的文章:黑科技之一个靠谱的密码记忆模型(文章底部的留言也精彩),然后定期修改密码且随机应变。
最后:人那,开心最重要,别活得太累,你说对吧?:)
题图:还是来自 L1nux3rr0r,一个有故事的黑客
-----------------
余弦@知道创宇
关于我,回复 about 查阅
联系客服