火狐出了個(gè)密碼泄露檢測工具 真得能管用？

最近Firefox(火狐瀏覽器)官方出了一個(gè)密碼泄露檢測網(wǎng)站——FirefoxMonitor。用法很簡單，把你經(jīng)常用來注冊賬號的郵箱輸進(jìn)去，它就能告訴你賬號密碼是否曾經(jīng)被泄露過，被誰泄露過。

不僅如此，你還可以訂閱一份數(shù)據(jù)泄露警報(bào)，一旦發(fā)生新的數(shù)據(jù)外泄事件，它會給你發(fā)郵件提醒。

網(wǎng)址是：monitor.firefox.com ，大家有空不妨去查查自己的數(shù)據(jù)泄露情況。

下面我給大家說道說道“查泄露”這件事。

Let's Rock !

其實(shí)，這類網(wǎng)站并非首次出現(xiàn)，大概五六年前就流行過一陣子，只不過后來絕大多數(shù)都已陣亡了，原因后文會說到。

它的原理不復(fù)雜：

一個(gè)網(wǎng)站的數(shù)據(jù)庫被黑客拷貝拖走，叫脫褲(拖庫);

早些年黑客們在茶余飯后大多有收集“褲子”的喜好。流傳到網(wǎng)上的各類“褲子”會被他們匯合到一處，或珍藏，或把玩。

正如宅男們喜歡拿著U盤相互交換電腦里的學(xué)習(xí)資料，黑客之間偶爾也“以褲會友”。

(提褲邀明月，對影成三人)

后來，有人專門搭建了網(wǎng)站，對外提供一個(gè)查詢界面，于是查數(shù)據(jù)泄露網(wǎng)站就這么誕生了。

這類網(wǎng)站除了使用自己收集的泄露數(shù)據(jù)庫之外，有時(shí)還會接入其他網(wǎng)站的API接口，大家相互串用數(shù)據(jù)。

比如，在火狐的Firefox Mnitor 上查詢一個(gè)結(jié)果，它會顯示“泄露數(shù)據(jù)由Have I Been Pwned提供”。

顯然它調(diào)用了“Have I Been Pwned ”的數(shù)據(jù)接口。

這個(gè)Have I Been Pwned 是一個(gè)老牌的數(shù)據(jù)泄露查詢網(wǎng)站，說起來，它是數(shù)據(jù)泄露查詢界的扛把子。想了解這類網(wǎng)站的進(jìn)化歷史，大概可以從它說起。

(網(wǎng)址是：haveibeenpwned.com)

這個(gè)網(wǎng)站始于2013 年，創(chuàng)辦者叫特洛伊·亨特(Troy Hunt) ，是一名就職于微軟的高級安全專家。

時(shí)間回到2010年，數(shù)據(jù)泄露事件在當(dāng)時(shí)就像天上的閃電一樣，時(shí)不時(shí)炸響在公眾視野。亨特作為一個(gè)安全專家，受命去做數(shù)據(jù)泄露的技術(shù)研判和趨勢分析工作。

他糾結(jié)于一個(gè)問題：

數(shù)以億計(jì)的人莫名其妙就被商業(yè)公司泄露了隱私數(shù)據(jù)，賬號密碼、身份證號、甚至家庭住址……他們是真正的受害者，可相當(dāng)一部分人居然毫不知情?這不合理。

正所謂“人在家里坐，鍋從天上來，死也要死個(gè)明白”，他決定幫人們維護(hù)知情的權(quán)利和能力。

恰逢2013年10月，知名軟件公司Adobe 曝出前所未有的數(shù)據(jù)泄露，影響1.52億個(gè)賬戶，亨特再也坐不住了。

次月，他在自己的博客上公布了一個(gè)網(wǎng)站，取名“Have I been Pwned ?” (我被搞了嗎?)

如今全球最出名的泄露查詢網(wǎng)站就這么誕生了!

(2013年第一版首頁的樣子)

和現(xiàn)在不同的是，一開始它只支持五個(gè)泄露數(shù)據(jù)庫的查詢，其中三個(gè)大家應(yīng)該不陌生：Adobe、雅虎、索尼

網(wǎng)站一經(jīng)推出，訪問量飛快增長，吃瓜群眾們?nèi)宄扇旱嘏軄聿樵冏约菏欠裰姓?。亨特發(fā)現(xiàn)確實(shí)能幫到不少人，也有了繼續(xù)做的動力。(這個(gè)網(wǎng)站的查詢服務(wù)一直是免費(fèi)的)

在他和眾多互聯(lián)網(wǎng)公司的共同努力下，Have I Been Pwned(名字太長了，以下簡稱HIBP)的數(shù)據(jù)庫越攢越大。

但是訪問量真正爆發(fā)還是2015 年的那次事件。

2015年7月，一個(gè)叫Ashley Madison的網(wǎng)站被拖庫，數(shù)據(jù)庫流傳到公網(wǎng)。亨特按照往常慣例，把公開流傳的數(shù)據(jù)庫找來，添加到HIBP 的庫里供人查詢。

本來這只是個(gè)常規(guī)操作，可是問題出現(xiàn)了。

這個(gè)被拖庫的網(wǎng)站是個(gè)約炮網(wǎng)站，而且公開鼓勵人們搞婚外戀，找外遇……

(它的口號是：Life is short ,Have an affair ——人生苦短，尋些樂子!)

就這么個(gè)網(wǎng)站泄露了30萬注冊用戶的賬號密碼和資料，還被亨特掛在網(wǎng)上供人公開查詢。

猛然之間，有種30萬個(gè)隔壁老王同時(shí)被捉奸在床的趕腳。。。

HIBP 網(wǎng)站一下子炸了。人們一擁而入，紛紛輸入自己的郵箱，以及各路親朋好友、同事上司、三大姑二大姨的郵箱，查查他們是否注冊這個(gè)約炮網(wǎng)站。

我腦補(bǔ)了一下當(dāng)時(shí)的情景都覺得尷尬：

“聽說了嗎?樓底下68歲那看門大爺注冊了Ashley madison 約炮網(wǎng)站……”

“哎呦，老當(dāng)益壯!對了，聽說XX部門的那誰也注冊了!

“是嘛!哈哈哈哈……”

據(jù)亨特回憶，那次事件讓HIBP 網(wǎng)站的訪問量增長了57000%。

但同時(shí)，他也立刻意識到嚴(yán)重的隱私保護(hù)的問題——HIBP沒有限制人們查詢別人泄露情況，這會導(dǎo)致另一種形式的隱私泄露。

從那之后，亨特加入了一些安全措施，但凡遇到色情網(wǎng)站、相親網(wǎng)站之類的敏感內(nèi)容，就只用發(fā)郵件的形式告訴查詢者，而不是公開展示。過沒多久，又一個(gè)約炮網(wǎng)站數(shù)據(jù)泄露(網(wǎng)站名字就不說了)，這個(gè)措施果然就派上用場。

HIBP 的名氣越來越大，后來居然還有人匿名“投稿”，主動把自己手里的數(shù)據(jù)庫主動送給亨特，讓他掛在HIBP 上供人公開查泄露。

2015年10月初，一個(gè)匿名黑客聯(lián)系亨特，聲稱自己手里有1350萬條明文的賬號密碼，并告知亨特這些數(shù)據(jù)泄露自著名的虛擬主機(jī)廠商“000webhost"。

亨特大吃一驚，立馬聯(lián)系福布斯雜志，和他們一起聯(lián)系受害用戶確認(rèn)了數(shù)據(jù)庫的真實(shí)性。

可是，當(dāng)他們緊急聯(lián)系上泄露數(shù)據(jù)的廠商“000webhost”，對方?jīng)]有給出任何答復(fù)。

到了月底，亨特把數(shù)據(jù)庫添進(jìn)HIBP，福布斯雜志公開寫文章報(bào)道，“000webhost”這才終于憋不住，在社交媒體承認(rèn)數(shù)據(jù)泄露。

又過了不到一個(gè)月，電子玩具廠商Vtech 被曝拖庫，另一位匿名黑客給亨特發(fā)來了數(shù)據(jù)包，涉及500萬條孩子和其父母親的賬戶記錄，同樣添加到HIBP的庫里。

這就樣，HIBP 的數(shù)據(jù)量增速越來越快……

到了2016年，數(shù)據(jù)泄露事件的數(shù)量陡然增多，堪稱史無前例：3.6億的Myspace 賬戶、1.64億的LinkedIn 賬戶、6500萬的Tumblr 賬號………

這些數(shù)據(jù)最初都來自一個(gè)名叫“peace_of_mind”的人在暗網(wǎng)公開售賣，沒過多久，它們都被加到了HIBP，也不知道是亨特直接從黑客手里買來的，還是其他人從黑客手里買來之后送給他的。

但需要注意的是，這些數(shù)據(jù)泄露并不是2016年當(dāng)年發(fā)生的，而是好幾年前就被拖庫了，只是2016年才浮出水面。比如Myspace數(shù)據(jù)泄露是在2009年，LinkedIn 是在2012年，Tumblr 則是在2013年。

販賣這些數(shù)據(jù)的黑客“Peace of mind” 也同樣印證了事實(shí)：這些數(shù)據(jù)在公開之前早就已經(jīng)過很多遍轉(zhuǎn)手交易了，大家都用得差不多了才開始公開售賣賺點(diǎn)外快……

話分兩頭。一邊是HIBP 在飛速增長，另一邊，中國網(wǎng)民也開始搭建起了自己的數(shù)據(jù)泄露查詢網(wǎng)站。

只不過，由于我國相關(guān)法律在當(dāng)時(shí)還不是特別完善，以及人們的數(shù)據(jù)隱私意識相對缺失，國內(nèi)這類網(wǎng)站的生長環(huán)境比國外粗放不少。

2013年10月，國內(nèi)網(wǎng)上出現(xiàn)了一個(gè)叫“查開房”的網(wǎng)站，有網(wǎng)友在上面輸入自己的名字，很快查到幾條某知名連鎖酒店的入住記錄，真實(shí)無誤。而且還能查到相關(guān)身份證號、生日、地址等信息。

根據(jù)當(dāng)時(shí)新聞的說法，數(shù)據(jù)涉及2000萬人的酒店入住信息，

(當(dāng)時(shí)的新聞圖片有點(diǎn)糊了，大家將就看吧)

“查開房”一經(jīng)推出全網(wǎng)火爆。

有多火爆呢?網(wǎng)站上線沒兩天就無法打開，有人懷疑是因?yàn)橛腥藞?bào)了警，被勒令下線了，可第二天網(wǎng)站又重新上線，人們這才意識到下線的原因居然是因?yàn)榫W(wǎng)站訪問量太大，服務(wù)器承受不住壓力宕機(jī)了………

除了酒店泄露數(shù)據(jù)查詢，國內(nèi)那幾年也涌現(xiàn)出一批專門用來查詢賬號密碼泄露的網(wǎng)站。

大約在2016 年左右，我就曾在一個(gè)此類網(wǎng)站上查到自己的真實(shí)姓名、身份證號、郵箱、籍貫、賬號密碼等隱私信息。據(jù)網(wǎng)站顯示，數(shù)據(jù)是由某知名火車票售票網(wǎng)站泄露……當(dāng)時(shí)我非常氣憤和無力，自己的數(shù)據(jù)被泄露了卻什么也做不了。

而我好歹還知道自己的數(shù)據(jù)被泄露了，我的家人、同事、親戚朋友……還有更多的人都不知道自己數(shù)據(jù)被泄露了。

(圖片源自網(wǎng)絡(luò)，當(dāng)時(shí)流傳的某火車票售票網(wǎng)的數(shù)據(jù)，不知真假)

但是很可惜，國內(nèi)并沒有發(fā)展出類似Have I Been Pwned 這樣的網(wǎng)站。

當(dāng)時(shí)國內(nèi)搭建這類網(wǎng)站的人，多半也沒什么隱私保護(hù)意識。在網(wǎng)站上輸入你要查詢的賬號，它不僅能告訴你是否被泄露，被哪個(gè)網(wǎng)站泄露，而且還會直接展示出泄露數(shù)據(jù)的詳情：

(許多查詢網(wǎng)站都直接顯示賬號密碼)

于是，人們不僅可以查詢自己的信息，也可以查詢別人的信息。不少人都拿來調(diào)查別人的隱私。

許多原本可以像Have I Been Pwned 一樣幫助普通老百姓獲得知情權(quán)的網(wǎng)站，淪為大眾眼中專門用來查找他人隱私信息的工具——“社工庫”。

一些很多網(wǎng)站明面上寫著“幫人們找回丟失的舊密碼”，但實(shí)質(zhì)已淪為專門用來調(diào)查他人隱私的工具。

(某個(gè)社工庫寫著“找回你丟失的密碼”)

到了2016 年，我國網(wǎng)絡(luò)安全相關(guān)法律法規(guī)開始大力完善和實(shí)施，人們明顯感覺到“網(wǎng)絡(luò)安全的氣氛正在改變”。

隨著新聞媒體對社工庫的報(bào)道，有關(guān)部門開始介入，一批批“社工庫”像多米諾骨牌一樣倒塌。

搭建社工庫的人究竟是為了幫助人們找回密碼?還是幫人們了解數(shù)據(jù)泄露情況?還是他們的本意就是用來查找別人的隱私?

或許都有，現(xiàn)在已無從考究。但無論如何，侵犯了公民的隱私安全，它們的歸宿都一樣——關(guān)站。

(知名社工庫findmima掛出聲明后匆匆關(guān)閉)

根據(jù)公開新聞，2016年3月，江蘇淮安警方偵破一起侵犯公民個(gè)人信息案，抓獲犯罪嫌疑人8名，搗毀國內(nèi)最大的網(wǎng)絡(luò)社工庫“K8社工庫”，查獲公民個(gè)人信息20億條。

到現(xiàn)在，不少人手里還捏著那些“舊褲子”，一些新褲子也會繼續(xù)在小范圍和地下黑市流傳。

可再也沒有人敢公開承認(rèn)自己手里有“褲子”，更別說公開放出來供人查詢，因?yàn)檎l也不敢碰這道紅線。

但令人遺憾的是，賬號泄露、酒店信息泄露的情況并沒有隨著社工庫、查開房網(wǎng)站的消亡而消失。

(圖片截取自百度搜索結(jié)果頁面)

有時(shí)候我就思考，“社工庫”這個(gè)東西雖然侵犯了人們的隱私，但它也并不全是壞的，至少，它能讓事件浮出水面，暴露在陽光之下，讓公民有了知情權(quán)，從而加速遏制住信息泄露的真正源頭。

我當(dāng)然不是想支持建立社工庫。但有沒有一種可能，國內(nèi)也能出現(xiàn)一種“改良版社工庫” ，就能像Have I Been Pwned 和Firefox 做的那樣，幫助國內(nèi)網(wǎng)民獲得更多對于數(shù)據(jù)泄露事件知情的能力，而不是面對自己的數(shù)據(jù)被泄露而毫不知情無能為力?

我把這個(gè)想法告訴了一個(gè)朋友，朋友卻說我想多了。

他說：“這年頭手里只要拿著數(shù)據(jù)庫就違法，誰敢做這種網(wǎng)站立馬被抓!所以國內(nèi)就別指望(有這類網(wǎng)站)了……而且，這幾年數(shù)據(jù)泄露時(shí)間的披露頻率也比那幾年消停得多了，不信你上Have I Been Pwned 、Firefox Monitor 這類網(wǎng)站查查，大部分還是很多年前曝出來的那些舊庫!這幾年新增的數(shù)據(jù)庫比較少。”

我照著他說的輸入幾個(gè)郵箱做安全檢測，F(xiàn)irefox Monitor 提示我有一例泄露。HIBP則提示我有9例泄露。

這個(gè)結(jié)果跟我3 年前搜索的結(jié)果一模一樣，還是那些網(wǎng)站。

(提示我賬號挺安全)

(我在3年前查詢也是9個(gè)網(wǎng)站泄露)

朋友說：“查詢結(jié)果和三年前一樣，你覺得這三年來你的賬號一次都沒被泄露過?興許只是新褲子還沒添加到這些查詢網(wǎng)站罷了。”

但愿Firefox 和Have I Been Pwned 這倆網(wǎng)站能保持及時(shí)更新吧。