最近、84 億個のパスワード (8 459 060 239 個の一意のレコード) を含む 100 GB のファイルがネットワーク上に現れました。専門家は、これらのパスワードは以前のリークの集大成であると示唆しています。ファイルにはログイン情報はなく、6 ~ 20 文字のパスワードのみが含まれています。その多くは特殊文字を含む複雑なパスワードです。それらはすべて、RockYou2021.txt という 1 つのファイルに含まれています。
このファイルは、RockYou2021 という同じ名前のニックネームを持つユーザーによってアップロードされました。このニックネームは、Rock You と呼ばれる2009 年のリークへの参照である可能性が最も高い です。しかし、そのリークは数倍少なく、2009 年に投稿されたファイルには 3,200 万行しか含まれていませんでした。
ファイル内のパスワードの数は、まだ 80 億人に達していない世界の人口を超えており、さまざまな推定によると、地球上のインターネット ユーザーの総数は約 50 億人です。多くのパスワードは本物であり、今日でも使用されていると想定できます。
このファイルは、高度なアルゴリズムを使用した通常の生成の結果であると考えられています。トロイ・ハントによると、インターネットに投稿されたファイルのほとんどの要素は、パスワードとして使用されたことはありません。これは、実際のリストを含む生成された要素の単なるコンパイルです。
しかし、BoyGeniusReport の出版社の代表者を含む、情報セキュリティの専門家の多くはこの意見に反対しています。パスワードは、通常のユーザーが思いつくものと非常によく似ています。
ファイル自体は、すぐに使用できるユーザー名とパスワードの組み合わせが含まれていないため、安全です。しかし、このファイルを、以前にリークされたユーザーの電子メール アドレスを含むドキュメントのいずれかと組み合わせると、ブルート フォース攻撃の豪華な基盤ができあがります。さらに、このファイルは、ブルート フォース攻撃を実行するために使用されるパスワード ディクショナリに使用できます。このファイルには、単純なパスワードと非常に複雑なパスワードの両方が含まれています。
一部の専門家によると、このファイルは、さまざまなサービスのユーザー アカウントを侵害する脅威を増大させます。リークを最初に発見した企業の 1 つである CyberNews は、脅威は数十億のユーザーにとって現実のものであると考えています。現実には、もちろん、すべてがそれほど怖いわけではありませんが、それでも状況は最も快適ではありません。
いつものように、最大の脅威の下にあるのは、さまざまなサービスに対して 1 つまたは 2 つのパスワードを考え出し、都合のよいときにそれらを使用するユーザーです。一般の人が電子メール アドレスを 1 つしか持っていないことを考えると、そのようなアカウントが侵害される危険性は非常に高いです。
脅威を軽減するには、通常使用されるパスワードを変更する価値があります。新しいアカウントごとに 1 つのパスワードを使用して、強力なセキュリティを備えた強力なパスワード ジェネレーターを使用している場合は、おそらく心配する必要はありません。確かに、ファイルには複雑なパスワードが含まれていますが、ほとんどのパスワードは、ジェネレーターではなく、人々が通常思いついたものと同じように見えます。さて、現在、ほとんどのサービスで二要素認証が導入されているため、この場合の脅威はさらに低くなります。
自分のデータを確認するために、個人データや パスワードの漏洩を知ることができる専門のサービスを利用でき ます。... ただし、ここでは、そのようなサービスのパスワードを「輝かせる」価値があるかどうかを考える価値があります.サービスチェッカーのハッキング後にそのようなデータベースが表示される可能性があります。もちろん、それらは保護されていますが...
ところで、2021 年 2 月に、別のリストがネットワーク上に現れました - Microsoft および Google のメール サービスのアカウントからの 32 億のログイン/パスワード バンドル。そのファイルは、以前に発生した他の多くのリークをまとめたものでした。
他の漏れはどうですか?
客観的に見てみましょう: アップロードされたパスワード付きのファイルは、実際にはリークではありません。しかし、企業の顧客のパスワード、ログイン、個人データなどのデータがネットワーク上に現れた場合、それは本当の漏洩と言えます。
ロシアでは、多くのデータに よると、 2020 年にリーク数は約 3 分の 1 増加しましたが、世界的にはこの指標はわずかではありましたが、減少しました。
2020 年には、約 1 億件のロシア人の個人データがネットワークに流出しました。これは、何十億ものパスワードを持つ誰かが投稿したファイルよりもはるかに危険です。同時に、違反の約 80% は会社の従業員によるものであり、そのほとんどは意図的な行動の結果でした。ロシアでは、金融サービス、公共部門、ハイテク産業でリークが頻繁に発生しています。
世界に関して言えば、2020 年末までに、約 110 億の個人データと支払い情報のレコードがネットワーク上に現れました (そのようなリークでは、ユーザーごとに複数のアカウントが存在し、これらは 110 億の個別のアカウントではないことは明らかです)。最大のリークはウィスパーの問題と考えられます.9億件のレコードがサービスから一度に盗まれました.つまり、リソースが2021年に設立されて以来、すべてのレコードがネットワークにリークされました. 2 位は、約 5,000 億件のレコードをリークした中国のサービス Weibo です。3つ目はエスティローダー。ここではハッカーは必要ありませんでした。同社自身がクラウド サービスの 1 つに 4 億 4000 万のアカウントを投稿しました。
