热门云服务超87GB电子邮箱和密码泄露，黑客已验证大部分数据

热门云存储服务Mega被曝发现超87GB电子邮件地址和密码泄露（源数据目前已被删除，但已流传到个别黑客网站），其中包含近7.73亿电子邮件地址和2200万密码。

近日，国外一名安全研究人员Troy Hunt（很多人也会将他称为“数据泄露爱好者”）接到爆料，称热门云服务Mega上的大量文件被泄露，内含超过12,000个独立文件和87GB数据，这些数据目前很可能已流传到某黑客论坛。由于这2,692,818,238行数据有许多不同的用户和网站来源，因此黑客正在验证邮件地址和密码匹配程度。

图源：Troy Hunt

本次被暴露数据的根文件夹叫做Collection＃1，因此本次泄露也被用该名字命名。据悉，Troy Hunt本人的数据就在泄露列表中，其本人证实为真实数据。他在博客中写道，这些数据可能不单单是某个电子邮件的当前密码，很可能包括用户之前使用的多个密码，这说明什么？

现在很多用户往往会准备多套密码，然后所有社交平台账户和电子邮件等全部用这几套密码搞定，一旦这些数据被泄露，多个平台均很容易被黑客攻击。

本次泄露的潜在风险

简单地说，本次泄露的主要是用户名和密码的组合，因为不少人也会用邮箱作为用户名。在这种情况下，这些数据有数亿种组合可能。换句话说，黑客会采用包含电子邮件地址和密码的列表，尝试登录其他网站或平台，这种方法的成功取决于人们在多个服务上重用相同凭证的习惯。或许，你的个人数据就在该列表中，但因为你忘记自己曾经注册过某个论坛，且一直使用相同的密码，很可能造成所有社交账号都被攻击。

对于黑客来说，只要通过一些自动化工具很快就可以得到一些破解结果。

在Reddit上，很多网友留言表示，虽然每次看到这类事件都很怕自己的数据被泄露，但从来没见过数据泄露列表，不知道从何查起，只能再次更改一堆密码。对此，Troy Hunt在个人博客中给出了一些建议。

如何检测并预防密码泄露

Troy Hunt在自己的博客上提供了一个名为HIBP的网站，这是他在18个月前建立的，该网站集合了众多泄露或者安全性较低的密码。根据Troy Hunt的检测，本次泄露的数据有81.89%与HIBP库不匹配，这也就意味着这些数据非常新。

该网站的具体操作方法是，用户在该平台输入想要设置的密码，平台会通过匹配结果对密码进行等级划分并给出详细信息，比如较强、强、弱、较弱等，也会告知此密码的被泄露情况。如果有人在其他地方使用了该密码（比如黑客），该平台也会向用户发出电话提醒。

国内很多网站在用户设置密码时也会给出相应评级，一般安全性较强的密码会包括英文大小写、数字和其他平台可识别的字符。

如果觉得挨个验证很麻烦，也可以选择一些不错的密码管理软件，比如1Password Watchtower。1Password 是来自加拿大开发商 agilebits 的一款跨平台（Windows，Mac，Android，iPhone，iPad）密码管理应用，使用的是AES（advanced encryption standard）256位加密，而非OpenSSL。1Password Watchtower是该公司近日推出的新功能，可帮助鉴别容易遭受Heartbleed的网站并建议用户及时更改密码。

该软件使用方法很简单，用户只需要给1Password设置一个极其复杂并且要牢牢记住的主密码，然后，1Password就可以帮用户记住每个网站的不同登陆密码，并且可以保证安全性。

据统计，该云存储服务平台去年也曾发生一起类似的数据泄露事件，当时的泄露文件包含超过15500条数据、密码和文件名。当时的分析人士认为数据应该不是由该平台直接泄露，而是被撞库所致。

2016年，黑客曾声称通过利用其平台服务器中的安全漏洞获取了大量内部文档和与管理账户相关的电子邮件地址。虽然Mega当时的官方回复是未发现任何用户数据被破坏，但还是足以证明其平台存在一定安全问题。

参考链接：https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/