2013年互联网公司大规模数据泄露事故有增无减,令人影响深刻,痛不欲生的包括Adobe泄露1.53亿条用户数据(创下数据泄露事故的历史记录),印象笔记泄露5000万等。考虑大多数用户经常在多个网站和服务使用相同的登录账户,受害者往往很难确定自己哪些账号信息已经泄露,需要更改哪些信息。为了解决这个问题,一个新推出的网站希望成为泄露账户信息的一站式聚合查询网站—haveibeenpwned.com。
其实查询账户泄露的网站已经不是什么新鲜事了,早在2011年CSDN用户数据泄露事件中国内很多用户就已经开始意识到此类网站的必要性,此外例如最近的Adobe泄露事故也都有针对性的密码查询站点,但是随着数据泄露事故越来越频繁,用户到不同的网站查询账户安全状况也越来越麻烦,而haveibeenpwned.com正是为了解决这个问题应运而生。
Haveibeenpwned由澳大利亚软件架构师Troy Hunt创建,这个网站聚合了多起安全泄露事故中泄露的账号信息,是目前最大最全的数据泄露查询库。潜在的受害者可以查询电子邮件地址(没有存储密码信息),然后该网站会确定这个地址是否在泄露账号信息数据库中。
到目前为止,haveibeenpwned收录了五起泄露事故的数据,包括2013年10月Adobe泄露事故、2012年7月雅虎泄露事故、2011年 12月Stratfor泄露事故、2011年索尼Playstation网络泄露事故和2010年Gawker泄露事故,把这些数据倒腾到一个网站并非易事,Hunt在博客中介绍了如何处理如此海量的数据。
把几起重大数据泄露事故的用户数据整合到一个网站会发现很多有趣的统计数字,例如当我吧Stratfor泄露事故的数据添加到Adobe记录中时,发现16%的邮件地址已经在那了,添加索尼事件数据时又有17%重复,添加雅虎则有22%重复。
目前,Hunt计划从其他泄露事故中增 加更多数据到该网站,不过,最近发生的LinkedIn泄露事故并不会出现在其中,因为这只是泄露了密码,而没有电子邮件地址。
2012年,Hunt对比了Sony和雅虎泄露的用户数据后发现59%的用户都使用了相同的用户密码。但值得注意的是,Haveibeenpwned.com并不存储密码,Hunt表示不愿招惹麻烦,创建网站只是为了提高公众的安全意识。
Hunt认为这个网站更重要的作用是处理未来数据泄露事故的数据。
haveibeenpwned上线第一天就吸引了6.3万访客进行了16.2万次搜索。其中32%的电子邮件地址查询都命中了数据库,这是一个高得惊人的比例,比大城市非雾霾天的几率还高,建议读者们抽空也去haveibeenpwned.com做个“体检”。