最近，一次数目庞大影响广泛的数据泄露事件再次进入了公众视野——该泄露数据集中包含7100万个电子邮件地址、上亿密码凭据。

该泄露数据集名为Naz.API，最早是于去年9月20日在某个知名暗网论坛上公开，而此前似乎已在私人手中流传了一段时间。该数据集总大小为104 GB，包含超过10亿条记录，其中约有7080万个电子邮件地址（大多附有明文密码）。

安全分析师Troy Hunt研究发现，其中约有35%的电子邮件地址（约2400万个），不在Have I Been Pwned的数据库中，据信以前从未被公开发现过。

Troy Hunt公布的一张图片显示，泄露样本的帐户凭据涉及多个网站，包括Facebook、Roblox、Coinbase、Yammer和Yahoo。这些密码以明文形式存储，表明这些凭据更可能是由“stealer”（在受害者设备上运行并上传输入到登录页面的用户名和密码的恶意软件）收集的说法相一致——那些攻击网站窃取得到的帐户凭据大都会经过加密散列处理。

Troy Hunt通过联系数据集中的一些电子邮件地址的账号所有人来确认该数据集的真实性。这些受访者回应称，数据集上边列出的凭据确实是（或者至少曾经是）准确的。Troy Hunt还检查了一些凭据的样本，确认这些电子邮件地址与受影响网站上的帐户相关联。

安全研究员建议，为确保账号安全，最好养成良好的密码卫生习惯，尽量使用密码管理器、启用双因素身份验证。据悉，最新的泄露数据集已添加到Have I Been Pwned的数据库之中，可通过此链接查看账号是否存在安全风险：https://haveibeenpwned.com/

编辑：左右里

资讯来源：haveibeenpwned、arstechnica

转载请注明出处和本文链接