【不实】网传年度最大泄露100亿密码泄露事件或名不副实

网传年度最大泄露100亿密码泄露事件或名不副实

零零信安

2024年7月4日


近期由黑客论坛Leakbase首发的一篇名为《Rockyou2024》的数据泄露事件,被诸多网络安全媒体进行了首版宣传,标题惊悚、分析言之凿凿,令诸多安全运营同僚焦虑。

例如:

*《惊天爆料!100 亿密码现身流行黑客论坛,网络安全亟待拯救》

*《RockYou2024:历史上最大的密码泄露事件暴露了100亿个密码》

*《100亿条密码的文档泄露,或成为年度最大密码泄露事件》

作为暗网监测和数据泄露事件分析师,我们对于这种为博眼球而刻意制造焦虑的宣传行为深感不齿。鉴于此,并同时消除前来咨询该事件的同仁的疑惑,我们联合“数世咨询”对此事进行“辟谣”。

2024年7月4日,黑客论坛Leakbase和Evil Zone分别发布了《Rockyou2024》的数据泄露事件,后在Breachforums、NulledBB等黑客论坛分别转载,事件宣称“该数据集包含99亿个密码”:

Hi,

Xmas came early this year. I present you a new rockyou2024 password list with over 9.9 billion passwords!

I updated rockyou21 with collected new data from recent leaked databases in various forums over this and last years.

Also cracked some old ones with my new 4090. This contains actual new real passwords from users..

并提供了下载链接。该数据集压缩包约43GB,解压后约145GB。按照国际著名网络安全媒体Cybernews的说法是,其安全研究员发现数据集中包含了9,948,575,739个唯一明文密码:

上图链接:https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/

但经我们分析,该密码集中至少包含了大量32字节、64字节、96字节的加密密码,而所有的明文密码也没有太大价值:

1.一方面这些明文密码与密码生成器/破解字典所制造出的密码并无差别;

2.另一方面,这些密码全部为独立存在的,无法与任何账号或登录信息进行匹配。

在早些时候,暗网监测平台Skylines.is曾发推文称“Rockyou2024”泄露的数据为“data silos”,仅能利用在低效的账号密码破解中:

上图链接:https://skylines.is/

当前全球互联网对于用户账号的安全性保护已经成熟了很多,大多数主流的邮箱系统、业务系统、电商、社交平台等,都使用了双因素认证、用户登录异常检测、账号破解攻击监控、零信任等技术。通过密码字典进行口令的破解已经逐渐成为最低效、甚至几乎无法实现的攻击手段。

另一方面,从该密码集的下载地址几乎不需要任何成本/代价即可获取的现实情况来看,该数据集的价值也非常有限。(基于我们对于暗网事件的整体检测来看,越有价值的数据,需要付出的成本越高。例如:Fullz每一条数据的成本高达数美元以上,而即使是相对便宜的常规泄露数据库,也至少需要平台积分或VIP权限。但该数据集99亿条数据量的成本却近乎于0成本即可获得,从这个“经济规律”来看,该数据的价值也可见一斑。)

综上所述,这条骇人听闻的新闻所描述的事件,实际上仅仅是暗网中稀松平常、每天都会发生的上百个泄露事件中普普通通的一件而已。

零零信安0.zone【DWM】暗网监测平台,关注每一起数据泄露事件。