"我们非常重视您的安全"
你收到了那封邮件。你使用的某家公司遭遇了"安全事件"。他们"非常重视您的隐私"。他们正在"与顶级网络安全专家合作"。他们建议你"作为预防措施更改密码"。
这究竟意味着什么?你的数据发生了什么?这些黑客现在正在用这些数据做什么?
数据泄露是如何真正发生的
最常见的场景,按频率排序:
SQL注入 — 攻击者在网站上找到一个可以注入数据库命令的表单(搜索、登录、联系)。他们输入' OR 1=1 --而不是用户名。数据库返回所有内容。这个漏洞已存在数十年,仍然是最常见的。
凭据填充 — 攻击者从其他数据泄露中获取密码,并在目标网站上尝试。如果你重复使用了2019年被黑客攻击的网站的密码,攻击者已经准备好了你的凭据来尝试。
钓鱼员工 — 公司里某人点击了一封令人信服的假邮件,交出了自己的凭据,攻击者现在拥有了内部访问权限。许多大规模数据泄露都始于单个员工的钓鱼点击。
未修补的软件 — 服务器运行着具有已知漏洞的旧版框架或库。攻击者利用它,获得访问权限,提取数据。
内部威胁 — 不太常见但真实存在。不满的员工,访问权限过多的承包商。
他们窃取了什么
并非所有数据泄露都是一样的。攻击者提取的内容取决于公司存储了什么:
第1级——最严重(每条记录通常售价35-350元)
- 全名 + 邮箱 + 电话 + 出生日期 + 邮政地址
- 部分或完整的信用卡号
- 社会保障号码/身份证号
- 明文密码(是的,这仍然会发生)
第2级——糟糕
- 邮箱 + 哈希密码(通常是这种情况)
- 用户名 + 账户元数据
- 购买历史
第3级——烦人但有限
- 仅邮箱地址
- IP地址
公司的泄露通知通常会描述什么被暴露了。请仔细阅读。
数据之后发生了什么
第0小时——数据外泄
攻击者复制数据。他们可能已经在系统中待了数天甚至数月,直到有人发现——发现前的平均"停留时间"是197天。
第1-7天——自用或出售
攻击者要么:
- 自己使用数据(如果是他们的目标公司,或者想要特定账户)
- 立即在暗网市场上出售以获得最大"新鲜度"价值
第1-4周——泄露公开
公司发现了(通过安全工具、研究人员通知或勒索要求),或者它出现在黑客论坛上。公司通知用户——通常是事后几周。
第1-12个月——凭据填充活动
攻击者在主要服务上测试你的邮箱+密码组合:Gmail、Netflix、PayPal、银行。自动化工具每分钟测试数千种组合。如果你在任何地方重复使用了该密码,它将被找到。
第1年及以后——长尾效应
泄露数据不会过期。2018年的泄露可用于2026年的钓鱼活动。来自多次泄露的数据被合并("数据丰富化"),为针对性攻击构建更完整的档案。
密码应该如何存储
当公司存储你的密码时,它永远不应该存储实际密码。它存储的是哈希值——一种不可逆的数学变换。
- 你设置密码:
password123 - 网站存储:
6f3b56e15f5f9a5b...(SHA-256哈希) - 登录时:网站对你的输入进行哈希,然后比较哈希值
问题是:并非所有哈希都是一样的。
MD5 — 计算快,破解也快。单个GPU每秒可以测试100亿个MD5哈希。一个包含1000万个密码的被黑MD5数据库可以在几分钟内被破解。
SHA-256(无盐) — 更好,但仍然很快。彩虹表(预计算哈希的数据库)可以即时破解常见密码。
bcrypt / Argon2 — 被设计为慢速。破解100亿个MD5哈希/秒的GPU只能处理约100个bcrypt哈希/秒。使用bcrypt哈希密码的数据泄露需要数月而非数分钟。
明文 — 是的,一些公司仍然以明文存储密码。如果泄露通知说"密码被暴露"而非"哈希密码被暴露",这是一个危险信号。
收到邮件后该怎么做
立即(前24小时):
- 更改该网站上的密码——即使泄露只影响了哈希密码
- 如果你在其他地方使用了相同的密码,也要在那里更改——当天全部更改
- 检查网站是否存储了敏感数据(银行卡、身份证)——如果是,监控你的信用
一周内:
- 如果该受影响网站还没有开启2FA,现在开启
- 通过HaveIBeenPwned数据库检查你的邮箱,了解完整的暴露范围
- 为每个发现被泄露的网站生成新的唯一密码(密码生成器)
长期:
- 为每个网站使用不同的密码——始终如此。密码管理器让这变得可管理。
- 开启邮箱的2FA——这是恢复其他一切的关键
- 如果你的身份证号/社会保障号被暴露,考虑信用冻结
真正重要的唯一一件事
密码重复使用是数据泄露后大多数账户被接管的根本原因。如果你2012年的LinkedIn密码今天还是你的Gmail密码,那么12年前的泄露仍然是当前的威胁。
检查你的邮箱是否曾出现在数据泄露中。如果是,将你当时使用的每个密码都视为已泄露——并生成新密码。