数据泄露查询平台 Have I Been Pwned(HIBP) 最近收录了其历史上规模最大的一组泄露数据——来自 Synthient Credential Stuffing 威胁活动 的凭证库。
这组数据包含:
- 近20亿个邮箱地址
- 13亿个密码,其中 6.25亿为首次被发现
这是HIBP自成立以来收录的最大数据集,规模是此前最大泄露库的三倍以上。
创建者特洛伊·亨特指出这些数据源自过往泄露事件的凭证填充列表,经犯罪分子打包传播。与此前公布的1.83亿条Synthient窃密程序日志不同,本次数据经多重验证:亨特不仅核验了自身暴露数据,还联系多位HIBP订阅者确认,其中多人证实泄露密码真实存在且部分仍在使用。这些密码年代跨度达10-20年,强度各异,若发现自身密码在列应立即更换。
HIBP已将这批密码纳入“Pwned Passwords”服务(为保护隐私已解除邮箱关联)。用户可通过网站密码查询页、k-匿名API或1Password的Watchtower等功能检测密码是否暴露。针对近期“Gmail遭入侵”的传言,亨特澄清该库包含3200万个不同邮箱域名,虽含3.94亿Gmail地址(占比最高),但80%数据与Gmail无关,且并非因谷歌安全漏洞导致。
该数据量是HIBP此前最大收录库的三倍。亨特透露在Azure SQL超大规模数据库中进行数据处理极其困难且成本高昂,持续两周占满资源,简单SQL更新命令常崩溃需改用批量处理。向290万受影响用户发送通知同样缓慢,需严格控制投递频率以防被邮件服务器限制。
亨特建议用户采取三项安全措施:使用跨设备同步的密码管理器(如Chrome/Firefox内置工具)、创建强唯一密码或使用通行密钥、启用多因素认证。
你应该怎么做?三个安全建议
- 使用密码管理器
- 推荐:Chrome、Firefox 内置密码管理器,或 1Password、Bitwarden
- 确保每个账户使用唯一、高强度密码
- 改用通行密钥(Passkey)
- 支持指纹/面容登录,无密码、防钓鱼,是未来主流方案
- 开启双重验证(2FA)
- 即使密码泄露,攻击者也无法轻易登录
- 优先使用认证器App(如Google Authenticator),避免短信验证
0条评论