查询帐号密码、隐私数据是否泄露的方法

几乎每年都有大型网站或平台用户密码等数据泄露事件发生,而小规模的隐私数据外泄,更是每天都在发生,只是不为人知晓。

例如,今年的8月18日、19日均有多起泄露事件被发现和确认。

2020年8月18日:

Sonicbids 发生了数据外泄,泄露数据包括帐号密码、电子邮箱、姓名、帐号用户名等。

Catho 发生了数据外泄,泄露数据包括帐号密码、电子邮箱、姓名、帐号用户名等。

2020年8月19日:

Unico Campania 发生了数据外泄,泄露数据包括用户帐号密码、电子邮箱。

Utah Gun Exchange 发生了数据外泄,泄露数据包括用户帐号密码、电子邮箱、登录IP地址、性别、用户名等。

一、怎么查询并确认自己的帐号、密码等隐私数据泄露?

通过以下两个网站,可以查询自己的网络帐号和密码等个人信息是否泄露。

下面使用同一个邮箱地址来查询测试,比较哪个网站查询到的泄露数据更全面。

数据外泄查询网站1:Firefox Monitor

Firefox Monitor是火狐浏览器开发公司旗下的帐号泄露检测工具网站。

Firefox Monitor官网:https://monitor.firefox.com

在Firefox Monitor官方网站输入自己的邮箱地址,点击“检查是否有外泄事件”,结果如下:

图片丨Firefox Monitor查询密码数据泄露结果
图片丨Firefox Monitor查询密码数据泄露结果

结果显示此电子邮件地址出现在 2 次已知数据外泄事件中,即当当网和Adobe网数据泄露,还显示泄露了哪些信息,点击“关于此数据外泄事件的更多信息”,可以看到更详细的说明:

Dangdang当当网站信息外泄事件记录时间:2019年1月10日,泄露的数据:电子邮件地址。

Adobe网站信息外泄事件记录时间:2013年12月4日
泄露的数据:密码,电子邮件地址,密码提示,用户名等。

提示:Firefox Monitor还有一个功能,当有新的外泄事件发生时,可以通知用户。点击上图中间的按钮就可以设置,需要创建或登录 Firefox 账户,以进入 Firefox Monitor。注册即可全面享用以下功能:

Firefox 浏览器:与您的所有设备同步标签页、书签、密码等等。
Firefox Lockwise:在任何地方访问保存在 Firefox 的密码 — 即使在浏览器之外。
Firefox Monitor:检查是否发生数据外泄事件。
Firefox Send:安全而私密地分享大文件

数据外泄查询网站2:Have I Been Pwned

仔细看上面网站1的查询结果图片,底部有“泄露数据由Have I Been Pwned提供”。

可见网站1、网站2实际上是使用的同一个数据源进行查询。下面使用同一个邮箱地址,看看查询结果是否也相同。

Have I Been Pwned官网:https://haveibeenpwned.com

输入同一个邮箱,点击后面的“pwned?”,显示有4个网站泄漏了该邮箱帐号信息,而上面的网站1只查出2个外泄网站,如下图:

图片丨Have I Been Pwned查询密码数据泄露结果
图片丨Have I Been Pwned查询密码数据泄露结果

网页底部显示有隐私数据泄漏详情,除了网站1查询出来的当当网和Adobe帐号,还多出机锋网、安卓网,的确是『白云居丨baiyunju.cc』曾经注册过的网站,如下图:

图片丨详细的个人隐私数据泄露说明
图片丨详细的个人隐私数据泄露说明

将说明翻译为中文:

Adobe:2013年10月,共有1.53亿个Adobe帐户被盗,每个帐户包含一个内部ID,用户名,电子邮件,加密密码和纯文本密码提示。密码加密的表现不佳,许多密码很快被解析为纯文本。未加密的提示还披露了很多有关密码的信息,进一步增加了数亿Adobe用户已经面临的风险。
泄露的数据:电子邮件地址,密码提示,密码,用户名

当当网:2011年,中国电子商务网站当当网遭遇数据泄露。该事件暴露了超过480万个唯一的电子邮件地址,随后在随后的几年中进行了在线交易。
泄露的数据:电子邮件地址

GFAN机锋网(未经验证):2016年10月,据称从中国网站GFAN获得的数据浮出水面,其中包含2250万个帐户。尽管有证据表明该数据是合法的,但由于难以强调中国违规行为,因此将其标记为“未经验证”。违规数据包含电子邮件和IP地址,用户名以及盐化和哈希密码。在“我被盗”中了解更多有关中国数据泄露的信息。
泄露的数据:电子邮件地址,IP地址,密码,用户名。

HiAPK安卓网(未经验证):大约在2014年,据称中国安卓网HIAPK遭受数据泄露,影响了1380万唯一用户。尽管有证据表明该数据是合法的,但由于难以强调中国违规行为,因此将其标记为“未经验证”。漏洞中的数据包含用户名,电子邮件地址和盐化的MD5密码哈希,并由白帽安全研究员和数据分析师Adam Davies提供给HIBP。在“我被盗”中了解更多有关中国数据泄露的信息。
泄露的数据:电子邮件地址,密码,用户名

通过以上比较,Have I Been Pwned比Firefox Monitor多查询出2个泄露网站,这两个网站外泄说明中标有“未经验证”(unverified)。

“未经验证”是什么意思?Have I Been Pwned网对此有以下说明:

什么是“未经验证的”泄露?

某些外泄行为可能被标记为“未经验证”。在这些情况下,尽管所指控的外泄行为中存在合法数据,但在合理怀疑范围内可能无法确立合法性。未经验证的违规行为仍包含在系统中,因为无论其合法性如何,它们仍包含有关个人的个人信息。

也就是说,这些数据“未经验证”,意思是外泄行为是否合法不确定。但是,无论是否合法,数据内的确包含了电子邮箱、用户名、密码、IP地址等个人信息。对个人来说,自己的隐私信息已经暴露于网络上了,已经泄露了,这是确定的。

二、密码泄露怎么办?如何有效保护自己的帐号隐私数据?

如果查询到泄露记录,应及时修改密码,不要以为这些数据已经泄露多年,应该没有什么危害。目前,这些数据依然在网上被交易和查询,只要里面包含有你任何真实信息,尽早会拼凑出完善的个人信息。

修改密码时,应避免所有帐号都使用同一个密码。最安全的密码设置技巧之一,就是为每一个帐号设置唯一的、随机的安全密码。

重新设置密码时,注意三点:

1、不要使用简单、有规律的密码,应设置包含数字、大小字母、符号等在内的随机、复杂的安全密码。

2、不要一个密码行天下,一旦密码外泄,所有帐号都有被破解的风险,一损俱损,后果不堪设想。正确的密码管理策略是,每一个网络帐号,都使用唯一的、与其他帐号不重复的密码。

3、设置双因子验证(2FA),也就是两步验证。这样即使有人得到了密码,也无法登录您的帐号。

要做到上面三点,不使用密码管理工具是不可能做到的。

密码管理软件APP、PC客户端、浏览器扩展程序哪个最好用?怎么使用?请看《密码管理软件教程》 https://baiyunju.cc/tag/mimaguanliqi

本文为『白云居丨baiyunju.cc』原创
禁止转载丨原文链接:https://baiyunju.cc/6248

©禁止转载 侵权必究:『白云居』 » 查询帐号密码、隐私数据是否泄露的方法

赞 (0)