★★小狼窝★★【开放注册】

 找回密码
 注册
搜索
热搜: 狼窝
查看: 10185|回复: 1

[轉帖]五百萬 Gmail 帳號洩漏事件「計中計 」- 查自己有冇被駭即中招!教你真查....

[复制链接]
发表于 2014-9-11 20:47:58 | 显示全部楼层 |阅读模式
近日俄羅斯討論區有人貼出了一個檔案,內裡包含了 5 百萬個 Google 帳戶資料,表示 Gmail 帳戶已遭到大量外洩。隨即有網站用這個 Database 建立網站服務讓人查詢有沒有中招,卻原來可能是放長線釣大魚 …?



俄羅斯討論區 Bitcoin Security 一名叫 tvskit 的會員,於 9 月 9 日發佈了一個名為 google 5000000 的壓縮檔案,內裡一打開竟包含了 500 萬個 Gmail 帳戶名稱, tvskit 再放出一張擷圖,表示他擁有在內所有帳戶的密碼,情況嚴重,外國媒體亦立即廣泛報導。
而 Google 安全研究小組隨即就於其官方部落格上指,是次事件為「憑證傾倒」(credential dump) 現象;面是次流出的資料並非為 Google 系統被入侵所導致。此類型小資料往往是來自各種其他管道,如:…當用戶若在各種服務的網站上使用同一組帳戶密碼,因此只要其中一個網站被駭,黑客就會以此來嘗試登入其他服務。

Google 指,被流出的表單當中的絕大多數均為無效資料,有效的不足 2%,面他們亦未曾發現伺服器有被駭的跡象。他們續指,Gmail 系統亦擁有自動反綁架的機制,能夠偵測並封鎖此類型的登入行為,現時他們已要求名單上的用戶重設其密碼,以策安全。



查中招網站,放長線釣大魚?
事件發生後有不少「可查詢自己帳戶有沒有外洩」的網站出現,當中 isleaked.com 可謂最多人使用,用戶可輸入自己的 Gmail 帳戶並查看到有沒有在 500 萬個名單之上,而且它可輸入星型符號 *** 得到搜尋結果,例如 testing@gmail.com 可輸入 test***@gmail.com,都可找到有沒有中招的可能性。


真正可信查詢方法:
其實那些查中招網站都是用放出來的 database 作為資料建立,讓人快速查詢。聰明機智的 unwire 讀者相信都會想到,要查、為何不自己下載來查呢?事實上  tvskit 放出的檔案仍可下載回來,只需簡單解壓並打開,就可 Search 到自己有沒有中招了。


▲在俄討論區上我們可直接下載 tvskit 提供的 google 5000000 檔案,以 7zip 或 winrar 等打開。

http://cdn.unwire.hk/wp-content/uploads/2014/09/wm01-552x500.jpg

▲之後用 WordPad 打開就可搜尋結果了,注意如用 NotePad 可能會因數據太多處理不到。文件內是沒有密碼的,只有 tvskit 持有。

下載地址:
https://forum.btcsec.com/index.p ... gmail-meniai-parol/

unwire 教你終極保安防盜法
其實無論自己有沒有中招,也應加緊帳戶保安,就算你不在今次的外洩名單之上,也可能已暗地裡被人盜取帳戶。配合手機 SMS 或認證 App 的二步認證將可令帳戶更加安全,詳情可參考我們 unwire.pro 的文章:
http://unwire.pro/index.php/2014/05/26/new_password_solution/

參考自:
http://lifehacker.com/5-million- ... ours-now-1632983265
http://jameswatt.me/2014/09/10/i ... -gmail-leak-public/




评分

参与人数 1金币 +3 收起 理由
yuyuyu112 + 3 淡定

查看全部评分

发表于 2014-9-12 21:24:38 | 显示全部楼层
这个也太夸张了,就算是无效的,也不应该随便泄漏出来。还有那么有效的2%呢。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|小狼窝  

GMT+8, 2017-9-24 02:08 , Processed in 0.026939 second(s), 11 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表