热门云服务超 87GB 电子邮箱和密码泄露，黑客已验证大部分数据

热门云存储服务 MEGA 被曝发现超 87GB 电子邮件地址和密码泄露（源数据目前已被删除，但已流传到个别黑客网站），其中包含近 7.73 亿电子邮件地址和 2200 万密码。

近日，国外一名安全研究人员 Troy Hunt（很多人也会将他称为“数据泄露爱好者”）接到爆料，称热门云服务 MEGA 上的大量文件被泄露，内含超过 12,000 个独立文件和 87GB 数据，这些数据目前很可能已流传到某黑客论坛。由于这 2,692,818,238 行数据有许多不同的用户和网站来源，因此黑客正在验证邮件地址和密码匹配程度。

图源：Troy Hunt

本次被暴露数据的根文件夹叫做 Collection＃1，因此本次泄露也被用该名字命名。据悉，Troy Hunt 本人的数据就在泄露列表中，其本人证实为真实数据。他在博客中写道，这些数据可能不单单是某个电子邮件的当前密码，很可能包括用户之前使用的多个密码，这说明什么？

现在很多用户往往会准备多套密码，然后所有社交平台账户和电子邮件等全部用这几套密码搞定，一旦这些数据被泄露，多个平台均很容易被黑客攻击。

本次泄露的潜在风险

简单地说，本次泄露的主要是用户名和密码的组合，因为不少人也会用邮箱作为用户名。在这种情况下，这些数据有数亿种组合可能。换句话说，黑客会采用包含电子邮件地址和密码的列表，尝试登录其他网站或平台，这种方法的成功取决于人们在多个服务上重用相同凭证的习惯。或许，你的个人数据就在该列表中，但因为你忘记自己曾经注册过某个论坛，且一直使用相同的密码，很可能造成所有社交账号都被攻击。

对于黑客来说，只要通过一些自动化工具很快就可以得到一些破解结果。

在 Reddit 上，很多网友留言表示，虽然每次看到这类事件都很怕自己的数据被泄露，但从来没见过数据泄露列表，不知道从何查起，只能再次更改一堆密码。对此，Troy Hunt 在个人博客中给出了一些建议。

如何检测并预防密码泄露

Troy Hunt 在自己的博客上提供了一个名为 HIBP 的网站，这是他在 18 个月前建立的，该网站集合了众多泄露或者安全性较低的密码。根据 Troy Hunt 的检测，本次泄露的数据有 81.89% 与 HIBP 库不匹配，这也就意味着这些数据非常新。

该网站的具体操作方法是，用户在该平台输入想要设置的密码，平台会通过匹配结果对密码进行等级划分并给出详细信息，比如较强、强、弱、较弱等，也会告知此密码的被泄露情况。如果有人在其他地方使用了该密码（比如黑客），该平台也会向用户发出电话提醒。

国内很多网站在用户设置密码时也会给出相应评级，一般安全性较强的密码会包括英文大小写、数字和其他平台可识别的字符。

如果觉得挨个验证很麻烦，也可以选择一些不错的密码管理软件，比如 1Password Watchtower。1Password 是来自加拿大开发商 agilebits 的一款跨平台（Windows，Mac，Android，iPhone，iPad）密码管理应用，使用的是 AES（advanced encryption standard）256 位加密，而非 OpenSSL。1Password Watchtower 是该公司近日推出的新功能，可帮助鉴别容易遭受 Heartbleed 的网站并建议用户及时更改密码。

该软件使用方法很简单，用户只需要给 1Password 设置一个极其复杂并且要牢牢记住的主密码，然后，1Password 就可以帮用户记住每个网站的不同登陆密码，并且可以保证安全性。

参考链接：https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/