一个新网站允许互联网用户检查自己的用户名和密码是否在近年来最大规模的数据泄露事件中被泄露。
该网站名为haveibeenpwned.com,由澳大利亚软件架构师特洛伊·亨特创建。它允许用户检查他们的电子邮件地址是否出现在用户数据库中,这些数据库分别于今年被Adobe系统泄露,2012年被雅虎泄露,2011年被索尼和Stratfor泄露,2010年被Gawker泄露。
Adobe数据泄露事件于去年10月曝光,被认为是历史上公开的最大的用户信息泄露事件。超过1.53亿用户的记录,包括电子邮件地址和加密不当的密码,因该事件而被曝光。
[也:你应该尝试的15个免费安全工具]
几位安全研究人员创建了一些网站,允许用户检查自己是否受到了Adobe黑客入侵的影响,但亨特想要的是一个能在多个数据泄露事件中显示电子邮件地址的网站。这种相关性很重要,因为很多人在多个网站上重复使用他们的电子邮件地址和密码。
2012年,Hunt比较了索尼和雅虎泄露的用户记录,发现在这两个数据库中有59%的用户使用相同的密码。
haveibeenpwned.com网站没有存储任何泄露的密码,只有电子邮件地址。
“我只是不需要他们(密码),坦率地说,我也不想承担责任,”亨特说博客。“这一切都是为了提高人们对违规范围的认识。”
将这些数据导入到网站并非易事,奥多比的数据库包含1.52亿份记录,strat6万份,Gawker 53万份,雅虎45.3万份,索尼3.7万份。亨特发表了另一篇文章博客关于使用大数据集的技术方面。
将数据合并到单个数据库中还会显示一些有趣的统计数据。他说:“当我把Stratfor漏洞添加到现有的Adobe记录中时,16%的电子邮件地址已经在系统中了。”“当我进入索尼公司时,17%的公司已经在那里了。雅虎是22%。”
亨特说:“虽然不是入侵发生的时间顺序,但这表明随后的数据集显示了新的入侵数据和系统中现有记录之间的高度相关性,这正是我创建这个网站的原因。”
亨特计划继续向系统中添加数据以防止未来的数据泄露,并要求所有知道泄露用户数据库的人告诉他,这些数据库是公开的,但还没有被包括在这个项目中。“不,不要为了参与这个项目而去破坏一个系统!”