关于隐私泄露相关的话题过去几年我写过不少，感兴趣的可以翻看我历史文章，这里再继续八卦八卦吧，让不懂的人开开眼。

最近两个站点特别火：

leakedsource.com

截止目前已经收集了 18 亿多的用户隐私记录，这些记录如图：

LinkedIn、MySpace、Badoo、VK、Twitter，哪个不是重量级，出现一个，全球风波一轮，用户的小心脏啊...

看看这几个的密码策略：

LinkedIn - SHA1 不加盐

MySpace - SHA1 不加盐

Badoo - MD5 不加盐

VK - 明文密码

Twitter - 明文密码，不过这个明文来自用户浏览器本地保存的明文，由于感染了恶意软件，导致这些密码被偷，Twitter 本身是密文加密的

科普：一般来说，密码加盐（salt，如一个随机字符串）是普遍的安全措施，能防止密码被轻易破解。如果不加盐，那么通过足够大的彩虹表与计算是可以轻易破解的

haveibeenpwned.com

这个站点收集了更多，如图：

放眼望去，都是国外的，那么国内的呢？恩...等等，列不下，这里就不列了...再等等，有没有更多更多的隐私库？有啊，但是我现在暂时不八卦，有机会未来继续第二篇。

这么多隐私库泄露，都是怎么泄露的？大概总结如下：

1. 目标网站因为漏洞被拖库
   

2. 目标网站出现内鬼，直接把库带出来

3. 目标网站出现 XSS/CSRF 等类型的蠕虫，通过蠕虫传播得到一堆隐私

4. 目标网站的目标用户被大规模钓鱼，通过钓鱼得到一堆隐私
   

5. 目标网站的大量用户终端感染了恶意软件，得到目标网站隐私（包括保存在浏览器本地的明文密码）

6. 上条的终端恶意软件更换为浏览器恶意扩展，效果一样

7. 目标网站的用户上网流量被各种神神秘秘的中间人劫持，得到目标网站隐私（可能包括传输过程中的明文密码）

8. 目标网站的第三方流行应用被拖库，间接导致

9. 目标网站被撞库

10. ...
    

这么多隐私库，黑客到底能怎样？见我两年多前写的文章：如果你掌握「隐私武器」。

我们该怎么办？见我前些天的文章：黑科技之一个靠谱的密码记忆模型（文章底部的留言也精彩），然后定期修改密码且随机应变。

最后：人那，开心最重要，别活得太累，你说对吧？:)

题图：还是来自 L1nux3rr0r，一个有故事的黑客

-----------------

余弦@知道创宇

关于我，回复 about 查阅