据外媒报道，一份包含约100亿个密码的文件“RockYou2024”已在某个知名黑客论坛上曝光，这一庞大数量远超以往记录。

Cybernews研究人员表示，“RockYou2024”似乎是迄今发现的最大泄露凭证集合，由一位化名为“ObamaCare”的黑客发布，据称包含99.48亿个密码，均为明文格式。经分析，这一数据集是在“RockYou2021”数据库基础上构建而成，新增数据时间跨度为从2021年到2024年，在之前的基础上再额外增加了15亿条记录。研究人员估计现在这一最新数据集源自至少4000起不同数据泄露事件，跨越20年之久。

发布密码数据集的这名黑客此前还曾曝光过律师事务所Simmons＆Simmons的员工数据库、在线赌场AskGamblers的数据以及Rowan College at Burlington County的学生申请信息等。

安全研究团队将“RockYou2024”中的密码与Cybernews的泄露密码检查器中的数据进行了交叉参考，结果显示这些密码来自各种新旧数据泄露事件。研究人员表示：“从本质上讲，‘RockYou2024’是一个全球个人真实密码的汇总合集，极大地增加了凭证填充攻击的风险。黑客可以利用该数据集进行暴力破解攻击，未经授权地访问那些使用包含在数据集中的密码的各种在线账户。”

据了解，凭证填充攻击对用户和企业可能造成严重破坏。例如，最近针对桑坦德银行、Ticketmaster、Advance Auto Parts、QuoteWizard等目标的网络攻击浪潮，就直接起源于对受害者的云服务提供商Snowflake进行的凭证填充攻击。

Cybernews已经在其泄露密码检查器中纳入了最新的“RockYou2024”数据，用户可通过此链接检查自己密码是否已泄露：https://cybernews.com/password-leak-check/

对于可能受影响的组织及个人，Cybernews研究团队建议其应考虑采取以下缓解措施：

① 立即重置所有与泄露密码相关的账户密码。强烈建议创建强大、唯一的密码，并且不要在多个平台重复使用。

② 使用密码管理器生成及存储复杂密码。密码管理器可有效减少在不同账户间重复使用密码的风险。

③ 在允许的情况下启用多因素身份验证（MFA）。通过除密码外的额外验证步骤来增强安全性。

编辑：左右里

资讯来源：cybernews

转载请注明出处和本文链接

[课程]Linux pwn 探索篇！