近期由黑客论坛Leakbase首发的一篇名为《Rockyou2024》的数据泄露事件,被诸多网络安全媒体进行了首版宣传,标题惊悚、分析言之凿凿,令诸多安全运营同僚焦虑。 例如: 《惊天爆料!100 亿密码现身流行黑客论坛,网络安全亟待拯救》, 《RockYou2024:历史上最大的密码泄露事件暴露了100亿个密码》, 《100亿条密码的文档泄露,或成为年度最大密码泄露事件》, 作为暗网监测和数据泄露事件分析师,我们对于这种为博眼球而刻意制造焦虑的宣传行为深感不齿。鉴于此,并同时消除前来咨询该事件的同仁的疑惑,我们将对此事进行“辟谣”。
2024年7月4日,黑客论坛Leakbase和Evil Zone分别发布了《Rockyou2024》的数据泄露事件,后在Breachforums、NulledBB等黑客论坛分别转载,事件宣称“该数据集包含99亿个密码”并提供了下载链接。该数据集压缩包约43GB,解压后约145GB。按照国际著名网络安全媒体Cybernews的说法是,其安全研究员发现数据集中包含了9,948,575,739个唯一明文密码。但经我们分析,该密码集中至少包含了大量32字节、64字节、96字节的加密密码,而所有的明文密码也没有太大价值: 一方面这些明文密码与密码生成器/破解字典所制造出的密码并无差别; 另一方面,这些密码全部为独立存在的,无法与任何账号或登录信息进行匹配。 在早些时候,暗网监测平台Skylines.is曾发推文称“Rockyou2024”泄露的数据为“data silos”,仅能利用在低效的账号密码破解中:
当前全球互联网对于用户账号的安全性保护已经成熟了很多,大多数主流的邮箱系统、业务系统、电商、社交平台等,都使用了双因素认证、用户登录异常检测、账号破解攻击监控、零信任等技术。通过密码字典进行口令的破解已经逐渐成为最低效、甚至几乎无法实现的攻击手段。 另一方面,从该密码集的下载地址几乎不需要任何成本/代价即可获取的现实情况来看,该数据集的价值也非常有限。(基于我们对于暗网事件的整体检测来看,越有价值的数据,需要付出的成本越高。例如:Fullz每一条数据的成本高达数美元以上,而即使是相对便宜的常规泄露数据库,也至少需要平台积分或VIP权限。但该数据集99亿条数据量的成本却近乎于0成本即可获得,从这个“经济规律”来看,该数据的价值也可见一斑。) 综上所述,这条骇人听闻的新闻所描述的事件,实际上仅仅是暗网中稀松平常、每天都会发生的上百个泄露事件中普普通通的一件而已。 零零信安0.zone【DWM】暗网监测平台,关注每一起数据泄露事件。
1.事件源截图
2.网络安全媒体cybernews评论分析
3.skylines暗网监测平台评论分析