火狐出了個(gè)密碼泄露檢測工具 真得能管用?
最近Firefox(火狐瀏覽器)官方出了一個(gè)密碼泄露檢測網(wǎng)站——FirefoxMonitor。用法很簡單,把你經(jīng)常用來注冊(cè)賬號(hào)的郵箱輸進(jìn)去,它就能告訴你賬號(hào)密碼是否曾經(jīng)被泄露過,被誰泄露過。
不僅如此,你還可以訂閱一份數(shù)據(jù)泄露警報(bào),一旦發(fā)生新的數(shù)據(jù)外泄事件,它會(huì)給你發(fā)郵件提醒。
網(wǎng)址是:monitor.firefox.com ,大家有空不妨去查查自己的數(shù)據(jù)泄露情況。
下面我給大家說道說道“查泄露”這件事。
Let's Rock !
其實(shí),這類網(wǎng)站并非首次出現(xiàn),大概五六年前就流行過一陣子,只不過后來絕大多數(shù)都已陣亡了,原因后文會(huì)說到。
它的原理不復(fù)雜:
一個(gè)網(wǎng)站的數(shù)據(jù)庫被黑客拷貝拖走,叫脫褲(拖庫);
早些年黑客們?cè)诓栌囡埡蟠蠖嘤惺占?ldquo;褲子”的喜好。流傳到網(wǎng)上的各類“褲子”會(huì)被他們匯合到一處,或珍藏,或把玩。
正如宅男們喜歡拿著U盤相互交換電腦里的學(xué)習(xí)資料,黑客之間偶爾也“以褲會(huì)友”。
(提褲邀明月,對(duì)影成三人)
后來,有人專門搭建了網(wǎng)站,對(duì)外提供一個(gè)查詢界面,于是查數(shù)據(jù)泄露網(wǎng)站就這么誕生了。
這類網(wǎng)站除了使用自己收集的泄露數(shù)據(jù)庫之外,有時(shí)還會(huì)接入其他網(wǎng)站的API接口,大家相互串用數(shù)據(jù)。
比如,在火狐的Firefox Mnitor 上查詢一個(gè)結(jié)果,它會(huì)顯示“泄露數(shù)據(jù)由Have I Been Pwned提供”。
顯然它調(diào)用了“Have I Been Pwned ”的數(shù)據(jù)接口。
這個(gè)Have I Been Pwned 是一個(gè)老牌的數(shù)據(jù)泄露查詢網(wǎng)站,說起來,它是數(shù)據(jù)泄露查詢界的扛把子。想了解這類網(wǎng)站的進(jìn)化歷史,大概可以從它說起。
(網(wǎng)址是:haveibeenpwned.com)
這個(gè)網(wǎng)站始于2013 年,創(chuàng)辦者叫特洛伊·亨特(Troy Hunt) ,是一名就職于微軟的高級(jí)安全專家。
時(shí)間回到2010年,數(shù)據(jù)泄露事件在當(dāng)時(shí)就像天上的閃電一樣,時(shí)不時(shí)炸響在公眾視野。亨特作為一個(gè)安全專家,受命去做數(shù)據(jù)泄露的技術(shù)研判和趨勢分析工作。
他糾結(jié)于一個(gè)問題:
數(shù)以億計(jì)的人莫名其妙就被商業(yè)公司泄露了隱私數(shù)據(jù),賬號(hào)密碼、身份證號(hào)、甚至家庭住址……他們是真正的受害者,可相當(dāng)一部分人居然毫不知情?這不合理。
正所謂“人在家里坐,鍋從天上來,死也要死個(gè)明白”,他決定幫人們維護(hù)知情的權(quán)利和能力。
恰逢2013年10月,知名軟件公司Adobe 曝出前所未有的數(shù)據(jù)泄露,影響1.52億個(gè)賬戶,亨特再也坐不住了。
次月,他在自己的博客上公布了一個(gè)網(wǎng)站,取名“Have I been Pwned ?” (我被搞了嗎?)
如今全球最出名的泄露查詢網(wǎng)站就這么誕生了!
(2013年第一版首頁的樣子)
和現(xiàn)在不同的是,一開始它只支持五個(gè)泄露數(shù)據(jù)庫的查詢,其中三個(gè)大家應(yīng)該不陌生:Adobe、雅虎、索尼
網(wǎng)站一經(jīng)推出,訪問量飛快增長,吃瓜群眾們?nèi)宄扇旱嘏軄聿樵冏约菏欠裰姓?。亨特發(fā)現(xiàn)確實(shí)能幫到不少人,也有了繼續(xù)做的動(dòng)力。(這個(gè)網(wǎng)站的查詢服務(wù)一直是免費(fèi)的)
在他和眾多互聯(lián)網(wǎng)公司的共同努力下,Have I Been Pwned(名字太長了,以下簡稱HIBP)的數(shù)據(jù)庫越攢越大。
但是訪問量真正爆發(fā)還是2015 年的那次事件。
2015年7月,一個(gè)叫Ashley Madison的網(wǎng)站被拖庫,數(shù)據(jù)庫流傳到公網(wǎng)。亨特按照往常慣例,把公開流傳的數(shù)據(jù)庫找來,添加到HIBP 的庫里供人查詢。
本來這只是個(gè)常規(guī)操作,可是問題出現(xiàn)了。
這個(gè)被拖庫的網(wǎng)站是個(gè)約炮網(wǎng)站,而且公開鼓勵(lì)人們搞婚外戀,找外遇……
(它的口號(hào)是:Life is short ,Have an affair ——人生苦短,尋些樂子!)
就這么個(gè)網(wǎng)站泄露了30萬注冊(cè)用戶的賬號(hào)密碼和資料,還被亨特掛在網(wǎng)上供人公開查詢。
猛然之間,有種30萬個(gè)隔壁老王同時(shí)被捉奸在床的趕腳。。。
HIBP 網(wǎng)站一下子炸了。人們一擁而入,紛紛輸入自己的郵箱,以及各路親朋好友、同事上司、三大姑二大姨的郵箱,查查他們是否注冊(cè)這個(gè)約炮網(wǎng)站。
我腦補(bǔ)了一下當(dāng)時(shí)的情景都覺得尷尬:
“聽說了嗎?樓底下68歲那看門大爺注冊(cè)了Ashley madison 約炮網(wǎng)站……”
“哎呦,老當(dāng)益壯!對(duì)了,聽說XX部門的那誰也注冊(cè)了!
“是嘛!哈哈哈哈……”
據(jù)亨特回憶,那次事件讓HIBP 網(wǎng)站的訪問量增長了57000%。
但同時(shí),他也立刻意識(shí)到嚴(yán)重的隱私保護(hù)的問題——HIBP沒有限制人們查詢別人泄露情況,這會(huì)導(dǎo)致另一種形式的隱私泄露。
從那之后,亨特加入了一些安全措施,但凡遇到色情網(wǎng)站、相親網(wǎng)站之類的敏感內(nèi)容,就只用發(fā)郵件的形式告訴查詢者,而不是公開展示。過沒多久,又一個(gè)約炮網(wǎng)站數(shù)據(jù)泄露(網(wǎng)站名字就不說了),這個(gè)措施果然就派上用場。
HIBP 的名氣越來越大,后來居然還有人匿名“投稿”,主動(dòng)把自己手里的數(shù)據(jù)庫主動(dòng)送給亨特,讓他掛在HIBP 上供人公開查泄露。
2015年10月初,一個(gè)匿名黑客聯(lián)系亨特,聲稱自己手里有1350萬條明文的賬號(hào)密碼,并告知亨特這些數(shù)據(jù)泄露自著名的虛擬主機(jī)廠商“000webhost"。
亨特大吃一驚,立馬聯(lián)系福布斯雜志,和他們一起聯(lián)系受害用戶確認(rèn)了數(shù)據(jù)庫的真實(shí)性。
可是,當(dāng)他們緊急聯(lián)系上泄露數(shù)據(jù)的廠商“000webhost”,對(duì)方?jīng)]有給出任何答復(fù)。
到了月底,亨特把數(shù)據(jù)庫添進(jìn)HIBP,福布斯雜志公開寫文章報(bào)道,“000webhost”這才終于憋不住,在社交媒體承認(rèn)數(shù)據(jù)泄露。
又過了不到一個(gè)月,電子玩具廠商Vtech 被曝拖庫,另一位匿名黑客給亨特發(fā)來了數(shù)據(jù)包,涉及500萬條孩子和其父母親的賬戶記錄,同樣添加到HIBP的庫里。
這就樣,HIBP 的數(shù)據(jù)量增速越來越快……
到了2016年,數(shù)據(jù)泄露事件的數(shù)量陡然增多,堪稱史無前例:3.6億的Myspace 賬戶、1.64億的LinkedIn 賬戶、6500萬的Tumblr 賬號(hào)………
這些數(shù)據(jù)最初都來自一個(gè)名叫“peace_of_mind”的人在暗網(wǎng)公開售賣,沒過多久,它們都被加到了HIBP,也不知道是亨特直接從黑客手里買來的,還是其他人從黑客手里買來之后送給他的。
但需要注意的是,這些數(shù)據(jù)泄露并不是2016年當(dāng)年發(fā)生的,而是好幾年前就被拖庫了,只是2016年才浮出水面。比如Myspace數(shù)據(jù)泄露是在2009年,LinkedIn 是在2012年,Tumblr 則是在2013年。
販賣這些數(shù)據(jù)的黑客“Peace of mind” 也同樣印證了事實(shí):這些數(shù)據(jù)在公開之前早就已經(jīng)過很多遍轉(zhuǎn)手交易了,大家都用得差不多了才開始公開售賣賺點(diǎn)外快……
話分兩頭。一邊是HIBP 在飛速增長,另一邊,中國網(wǎng)民也開始搭建起了自己的數(shù)據(jù)泄露查詢網(wǎng)站。
只不過,由于我國相關(guān)法律在當(dāng)時(shí)還不是特別完善,以及人們的數(shù)據(jù)隱私意識(shí)相對(duì)缺失,國內(nèi)這類網(wǎng)站的生長環(huán)境比國外粗放不少。
2013年10月,國內(nèi)網(wǎng)上出現(xiàn)了一個(gè)叫“查開房”的網(wǎng)站,有網(wǎng)友在上面輸入自己的名字,很快查到幾條某知名連鎖酒店的入住記錄,真實(shí)無誤。而且還能查到相關(guān)身份證號(hào)、生日、地址等信息。
根據(jù)當(dāng)時(shí)新聞的說法,數(shù)據(jù)涉及2000萬人的酒店入住信息,
(當(dāng)時(shí)的新聞圖片有點(diǎn)糊了,大家將就看吧)
“查開房”一經(jīng)推出全網(wǎng)火爆。
有多火爆呢?網(wǎng)站上線沒兩天就無法打開,有人懷疑是因?yàn)橛腥藞?bào)了警,被勒令下線了,可第二天網(wǎng)站又重新上線,人們這才意識(shí)到下線的原因居然是因?yàn)榫W(wǎng)站訪問量太大,服務(wù)器承受不住壓力宕機(jī)了………
除了酒店泄露數(shù)據(jù)查詢,國內(nèi)那幾年也涌現(xiàn)出一批專門用來查詢賬號(hào)密碼泄露的網(wǎng)站。
大約在2016 年左右,我就曾在一個(gè)此類網(wǎng)站上查到自己的真實(shí)姓名、身份證號(hào)、郵箱、籍貫、賬號(hào)密碼等隱私信息。據(jù)網(wǎng)站顯示,數(shù)據(jù)是由某知名火車票售票網(wǎng)站泄露……當(dāng)時(shí)我非常氣憤和無力,自己的數(shù)據(jù)被泄露了卻什么也做不了。
而我好歹還知道自己的數(shù)據(jù)被泄露了,我的家人、同事、親戚朋友……還有更多的人都不知道自己數(shù)據(jù)被泄露了。
(圖片源自網(wǎng)絡(luò),當(dāng)時(shí)流傳的某火車票售票網(wǎng)的數(shù)據(jù),不知真假)
但是很可惜,國內(nèi)并沒有發(fā)展出類似Have I Been Pwned 這樣的網(wǎng)站。
當(dāng)時(shí)國內(nèi)搭建這類網(wǎng)站的人,多半也沒什么隱私保護(hù)意識(shí)。在網(wǎng)站上輸入你要查詢的賬號(hào),它不僅能告訴你是否被泄露,被哪個(gè)網(wǎng)站泄露,而且還會(huì)直接展示出泄露數(shù)據(jù)的詳情:
(許多查詢網(wǎng)站都直接顯示賬號(hào)密碼)
于是,人們不僅可以查詢自己的信息,也可以查詢別人的信息。不少人都拿來調(diào)查別人的隱私。
許多原本可以像Have I Been Pwned 一樣幫助普通老百姓獲得知情權(quán)的網(wǎng)站,淪為大眾眼中專門用來查找他人隱私信息的工具——“社工庫”。
一些很多網(wǎng)站明面上寫著“幫人們找回丟失的舊密碼”,但實(shí)質(zhì)已淪為專門用來調(diào)查他人隱私的工具。
(某個(gè)社工庫寫著“找回你丟失的密碼”)
到了2016 年,我國網(wǎng)絡(luò)安全相關(guān)法律法規(guī)開始大力完善和實(shí)施,人們明顯感覺到“網(wǎng)絡(luò)安全的氣氛正在改變”。
隨著新聞媒體對(duì)社工庫的報(bào)道,有關(guān)部門開始介入,一批批“社工庫”像多米諾骨牌一樣倒塌。
搭建社工庫的人究竟是為了幫助人們找回密碼?還是幫人們了解數(shù)據(jù)泄露情況?還是他們的本意就是用來查找別人的隱私?
或許都有,現(xiàn)在已無從考究。但無論如何,侵犯了公民的隱私安全,它們的歸宿都一樣——關(guān)站。
(知名社工庫findmima掛出聲明后匆匆關(guān)閉)
根據(jù)公開新聞,2016年3月,江蘇淮安警方偵破一起侵犯公民個(gè)人信息案,抓獲犯罪嫌疑人8名,搗毀國內(nèi)最大的網(wǎng)絡(luò)社工庫“K8社工庫”,查獲公民個(gè)人信息20億條。
到現(xiàn)在,不少人手里還捏著那些“舊褲子”,一些新褲子也會(huì)繼續(xù)在小范圍和地下黑市流傳。
可再也沒有人敢公開承認(rèn)自己手里有“褲子”,更別說公開放出來供人查詢,因?yàn)檎l也不敢碰這道紅線。
但令人遺憾的是,賬號(hào)泄露、酒店信息泄露的情況并沒有隨著社工庫、查開房網(wǎng)站的消亡而消失。
(圖片截取自百度搜索結(jié)果頁面)
有時(shí)候我就思考,“社工庫”這個(gè)東西雖然侵犯了人們的隱私,但它也并不全是壞的,至少,它能讓事件浮出水面,暴露在陽光之下,讓公民有了知情權(quán),從而加速遏制住信息泄露的真正源頭。
我當(dāng)然不是想支持建立社工庫。但有沒有一種可能,國內(nèi)也能出現(xiàn)一種“改良版社工庫” ,就能像Have I Been Pwned 和Firefox 做的那樣,幫助國內(nèi)網(wǎng)民獲得更多對(duì)于數(shù)據(jù)泄露事件知情的能力,而不是面對(duì)自己的數(shù)據(jù)被泄露而毫不知情無能為力?
我把這個(gè)想法告訴了一個(gè)朋友,朋友卻說我想多了。
他說:“這年頭手里只要拿著數(shù)據(jù)庫就違法,誰敢做這種網(wǎng)站立馬被抓!所以國內(nèi)就別指望(有這類網(wǎng)站)了……而且,這幾年數(shù)據(jù)泄露時(shí)間的披露頻率也比那幾年消停得多了,不信你上Have I Been Pwned 、Firefox Monitor 這類網(wǎng)站查查,大部分還是很多年前曝出來的那些舊庫!這幾年新增的數(shù)據(jù)庫比較少。”
我照著他說的輸入幾個(gè)郵箱做安全檢測,F(xiàn)irefox Monitor 提示我有一例泄露。HIBP則提示我有9例泄露。
這個(gè)結(jié)果跟我3 年前搜索的結(jié)果一模一樣,還是那些網(wǎng)站。
(提示我賬號(hào)挺安全)
(我在3年前查詢也是9個(gè)網(wǎng)站泄露)
朋友說:“查詢結(jié)果和三年前一樣,你覺得這三年來你的賬號(hào)一次都沒被泄露過?興許只是新褲子還沒添加到這些查詢網(wǎng)站罷了。”
但愿Firefox 和Have I Been Pwned 這倆網(wǎng)站能保持及時(shí)更新吧。