火狐出了個密碼泄露檢測工具 真得能管用？

最近Firefox(火狐瀏覽器)官方出了一個密碼泄露檢測網站——FirefoxMonitor。用法很簡單，把你經常用來注冊賬號的郵箱輸進去，它就能告訴你賬號密碼是否曾經被泄露過，被誰泄露過。

不僅如此，你還可以訂閱一份數據泄露警報，一旦發(fā)生新的數據外泄事件，它會給你發(fā)郵件提醒。

網址是：monitor.firefox.com ，大家有空不妨去查查自己的數據泄露情況。

下面我給大家說道說道“查泄露”這件事。

Let's Rock !

其實，這類網站并非首次出現，大概五六年前就流行過一陣子，只不過后來絕大多數都已陣亡了，原因后文會說到。

它的原理不復雜：

一個網站的數據庫被黑客拷貝拖走，叫脫褲(拖庫);

早些年黑客們在茶余飯后大多有收集“褲子”的喜好。流傳到網上的各類“褲子”會被他們匯合到一處，或珍藏，或把玩。

正如宅男們喜歡拿著U盤相互交換電腦里的學習資料，黑客之間偶爾也“以褲會友”。

(提褲邀明月，對影成三人)

后來，有人專門搭建了網站，對外提供一個查詢界面，于是查數據泄露網站就這么誕生了。

這類網站除了使用自己收集的泄露數據庫之外，有時還會接入其他網站的API接口，大家相互串用數據。

比如，在火狐的Firefox Mnitor 上查詢一個結果，它會顯示“泄露數據由Have I Been Pwned提供”。

顯然它調用了“Have I Been Pwned ”的數據接口。

這個Have I Been Pwned 是一個老牌的數據泄露查詢網站，說起來，它是數據泄露查詢界的扛把子。想了解這類網站的進化歷史，大概可以從它說起。

(網址是：haveibeenpwned.com)

這個網站始于2013 年，創(chuàng)辦者叫特洛伊·亨特(Troy Hunt) ，是一名就職于微軟的高級安全專家。

時間回到2010年，數據泄露事件在當時就像天上的閃電一樣，時不時炸響在公眾視野。亨特作為一個安全專家，受命去做數據泄露的技術研判和趨勢分析工作。

他糾結于一個問題：

數以億計的人莫名其妙就被商業(yè)公司泄露了隱私數據，賬號密碼、身份證號、甚至家庭住址……他們是真正的受害者，可相當一部分人居然毫不知情?這不合理。

正所謂“人在家里坐，鍋從天上來，死也要死個明白”，他決定幫人們維護知情的權利和能力。

恰逢2013年10月，知名軟件公司Adobe 曝出前所未有的數據泄露，影響1.52億個賬戶，亨特再也坐不住了。

次月，他在自己的博客上公布了一個網站，取名“Have I been Pwned ?” (我被搞了嗎?)

如今全球最出名的泄露查詢網站就這么誕生了!

(2013年第一版首頁的樣子)

和現在不同的是，一開始它只支持五個泄露數據庫的查詢，其中三個大家應該不陌生：Adobe、雅虎、索尼

網站一經推出，訪問量飛快增長，吃瓜群眾們三五成群地跑來查詢自己是否中招。亨特發(fā)現確實能幫到不少人，也有了繼續(xù)做的動力。(這個網站的查詢服務一直是免費的)

在他和眾多互聯網公司的共同努力下，Have I Been Pwned(名字太長了，以下簡稱HIBP)的數據庫越攢越大。

但是訪問量真正爆發(fā)還是2015 年的那次事件。

2015年7月，一個叫Ashley Madison的網站被拖庫，數據庫流傳到公網。亨特按照往常慣例，把公開流傳的數據庫找來，添加到HIBP 的庫里供人查詢。

本來這只是個常規(guī)操作，可是問題出現了。

這個被拖庫的網站是個約炮網站，而且公開鼓勵人們搞婚外戀，找外遇……

(它的口號是：Life is short ,Have an affair ——人生苦短，尋些樂子!)

就這么個網站泄露了30萬注冊用戶的賬號密碼和資料，還被亨特掛在網上供人公開查詢。

猛然之間，有種30萬個隔壁老王同時被捉奸在床的趕腳。。。

HIBP 網站一下子炸了。人們一擁而入，紛紛輸入自己的郵箱，以及各路親朋好友、同事上司、三大姑二大姨的郵箱，查查他們是否注冊這個約炮網站。

我腦補了一下當時的情景都覺得尷尬：

“聽說了嗎?樓底下68歲那看門大爺注冊了Ashley madison 約炮網站……”

“哎呦，老當益壯!對了，聽說XX部門的那誰也注冊了!

“是嘛!哈哈哈哈……”

據亨特回憶，那次事件讓HIBP 網站的訪問量增長了57000%。

但同時，他也立刻意識到嚴重的隱私保護的問題——HIBP沒有限制人們查詢別人泄露情況，這會導致另一種形式的隱私泄露。

從那之后，亨特加入了一些安全措施，但凡遇到色情網站、相親網站之類的敏感內容，就只用發(fā)郵件的形式告訴查詢者，而不是公開展示。過沒多久，又一個約炮網站數據泄露(網站名字就不說了)，這個措施果然就派上用場。

HIBP 的名氣越來越大，后來居然還有人匿名“投稿”，主動把自己手里的數據庫主動送給亨特，讓他掛在HIBP 上供人公開查泄露。

2015年10月初，一個匿名黑客聯系亨特，聲稱自己手里有1350萬條明文的賬號密碼，并告知亨特這些數據泄露自著名的虛擬主機廠商“000webhost"。

亨特大吃一驚，立馬聯系福布斯雜志，和他們一起聯系受害用戶確認了數據庫的真實性。

可是，當他們緊急聯系上泄露數據的廠商“000webhost”，對方沒有給出任何答復。

到了月底，亨特把數據庫添進HIBP，福布斯雜志公開寫文章報道，“000webhost”這才終于憋不住，在社交媒體承認數據泄露。

又過了不到一個月，電子玩具廠商Vtech 被曝拖庫，另一位匿名黑客給亨特發(fā)來了數據包，涉及500萬條孩子和其父母親的賬戶記錄，同樣添加到HIBP的庫里。

這就樣，HIBP 的數據量增速越來越快……

到了2016年，數據泄露事件的數量陡然增多，堪稱史無前例：3.6億的Myspace 賬戶、1.64億的LinkedIn 賬戶、6500萬的Tumblr 賬號………

這些數據最初都來自一個名叫“peace_of_mind”的人在暗網公開售賣，沒過多久，它們都被加到了HIBP，也不知道是亨特直接從黑客手里買來的，還是其他人從黑客手里買來之后送給他的。

但需要注意的是，這些數據泄露并不是2016年當年發(fā)生的，而是好幾年前就被拖庫了，只是2016年才浮出水面。比如Myspace數據泄露是在2009年，LinkedIn 是在2012年，Tumblr 則是在2013年。

販賣這些數據的黑客“Peace of mind” 也同樣印證了事實：這些數據在公開之前早就已經過很多遍轉手交易了，大家都用得差不多了才開始公開售賣賺點外快……

話分兩頭。一邊是HIBP 在飛速增長，另一邊，中國網民也開始搭建起了自己的數據泄露查詢網站。

只不過，由于我國相關法律在當時還不是特別完善，以及人們的數據隱私意識相對缺失，國內這類網站的生長環(huán)境比國外粗放不少。

2013年10月，國內網上出現了一個叫“查開房”的網站，有網友在上面輸入自己的名字，很快查到幾條某知名連鎖酒店的入住記錄，真實無誤。而且還能查到相關身份證號、生日、地址等信息。

根據當時新聞的說法，數據涉及2000萬人的酒店入住信息，

(當時的新聞圖片有點糊了，大家將就看吧)

“查開房”一經推出全網火爆。

有多火爆呢?網站上線沒兩天就無法打開，有人懷疑是因為有人報了警，被勒令下線了，可第二天網站又重新上線，人們這才意識到下線的原因居然是因為網站訪問量太大，服務器承受不住壓力宕機了………

除了酒店泄露數據查詢，國內那幾年也涌現出一批專門用來查詢賬號密碼泄露的網站。

大約在2016 年左右，我就曾在一個此類網站上查到自己的真實姓名、身份證號、郵箱、籍貫、賬號密碼等隱私信息。據網站顯示，數據是由某知名火車票售票網站泄露……當時我非常氣憤和無力，自己的數據被泄露了卻什么也做不了。

而我好歹還知道自己的數據被泄露了，我的家人、同事、親戚朋友……還有更多的人都不知道自己數據被泄露了。

(圖片源自網絡，當時流傳的某火車票售票網的數據，不知真假)

但是很可惜，國內并沒有發(fā)展出類似Have I Been Pwned 這樣的網站。

當時國內搭建這類網站的人，多半也沒什么隱私保護意識。在網站上輸入你要查詢的賬號，它不僅能告訴你是否被泄露，被哪個網站泄露，而且還會直接展示出泄露數據的詳情：

(許多查詢網站都直接顯示賬號密碼)

于是，人們不僅可以查詢自己的信息，也可以查詢別人的信息。不少人都拿來調查別人的隱私。

許多原本可以像Have I Been Pwned 一樣幫助普通老百姓獲得知情權的網站，淪為大眾眼中專門用來查找他人隱私信息的工具——“社工庫”。

一些很多網站明面上寫著“幫人們找回丟失的舊密碼”，但實質已淪為專門用來調查他人隱私的工具。

(某個社工庫寫著“找回你丟失的密碼”)

到了2016 年，我國網絡安全相關法律法規(guī)開始大力完善和實施，人們明顯感覺到“網絡安全的氣氛正在改變”。

隨著新聞媒體對社工庫的報道，有關部門開始介入，一批批“社工庫”像多米諾骨牌一樣倒塌。

搭建社工庫的人究竟是為了幫助人們找回密碼?還是幫人們了解數據泄露情況?還是他們的本意就是用來查找別人的隱私?

或許都有，現在已無從考究。但無論如何，侵犯了公民的隱私安全，它們的歸宿都一樣——關站。

(知名社工庫findmima掛出聲明后匆匆關閉)

根據公開新聞，2016年3月，江蘇淮安警方偵破一起侵犯公民個人信息案，抓獲犯罪嫌疑人8名，搗毀國內最大的網絡社工庫“K8社工庫”，查獲公民個人信息20億條。

到現在，不少人手里還捏著那些“舊褲子”，一些新褲子也會繼續(xù)在小范圍和地下黑市流傳。

可再也沒有人敢公開承認自己手里有“褲子”，更別說公開放出來供人查詢，因為誰也不敢碰這道紅線。

但令人遺憾的是，賬號泄露、酒店信息泄露的情況并沒有隨著社工庫、查開房網站的消亡而消失。

(圖片截取自百度搜索結果頁面)

有時候我就思考，“社工庫”這個東西雖然侵犯了人們的隱私，但它也并不全是壞的，至少，它能讓事件浮出水面，暴露在陽光之下，讓公民有了知情權，從而加速遏制住信息泄露的真正源頭。

我當然不是想支持建立社工庫。但有沒有一種可能，國內也能出現一種“改良版社工庫” ，就能像Have I Been Pwned 和Firefox 做的那樣，幫助國內網民獲得更多對于數據泄露事件知情的能力，而不是面對自己的數據被泄露而毫不知情無能為力?

我把這個想法告訴了一個朋友，朋友卻說我想多了。

他說：“這年頭手里只要拿著數據庫就違法，誰敢做這種網站立馬被抓!所以國內就別指望(有這類網站)了……而且，這幾年數據泄露時間的披露頻率也比那幾年消停得多了，不信你上Have I Been Pwned 、Firefox Monitor 這類網站查查，大部分還是很多年前曝出來的那些舊庫!這幾年新增的數據庫比較少。”

我照著他說的輸入幾個郵箱做安全檢測，Firefox Monitor 提示我有一例泄露。HIBP則提示我有9例泄露。

這個結果跟我3 年前搜索的結果一模一樣，還是那些網站。

(提示我賬號挺安全)

(我在3年前查詢也是9個網站泄露)

朋友說：“查詢結果和三年前一樣，你覺得這三年來你的賬號一次都沒被泄露過?興許只是新褲子還沒添加到這些查詢網站罷了。”

但愿Firefox 和Have I Been Pwned 這倆網站能保持及時更新吧。