由澳洲安全专家Troy Hunt在2013年所创建的Have I Been Pwned(HIBP)外泄密码查询平台,在今年5月开源之际,宣布美国联邦调查局(FBI)将把所查获的外泄资料导入HIBP项目,本周Hunt指出,英国的国家犯罪调查局(National Crime Agency,NCA)也已将大量的外泄密码贡献给HIBP。
HIBP原本就搜集了6.13亿笔的外泄密码,此次NCA则提供了超过5.8亿笔的外泄密码,其中近2.3亿笔属于新密码,也让HIBP的外泄密码数据库规模超越8.4亿笔,增加了38%。HIBP也计算出这8.4亿笔的外泄密码总计被使用了近56亿次,显示有不少用户在不同的服务中采用同样的密码。
NCA表示,这些外泄资料都是该组织于过去几年所取得,特别是与那些平台被黑或用户资料遭窃的企业合作,协助企业保护用户的账号安全。
NCA也透露,最近该组织还在一个暴露的云计算存储服务中,看到大量的外泄凭证,包含电子邮件账号与密码,同时涉及多个已知或未知的资料外泄事件。
HIBP服务可让用户以电子邮件查询自己所使用的服务与密码是否曾外泄过,同时也能让各企业了解自家服务的安全状况。研究人员或企业可通过Pwned Passwords API来查询特定账号曾在哪些服务外泄,或是那些曾外泄用户资料的服务,也能查询单一网站的外泄状况与外泄模式,并避免用户再使用已外泄的密码。
虽然HIBP允许外界下载整个外泄数据库,但压缩后的文件大小仍高达17.2GB,建议外界可激活保障用户隐私的k-anonymity API来识别那些新的外泄密码。