Two billion email addresses were exposed

Troy Hunt объявил о добавлении в Have I Been Pwned 2 миллиардов уникальных email-адресов (точнее 1,957,476,021) и 1,3 миллиарда паролей, из которых 625 миллионов ранее нигде не встречались. Это крупнейшая база данных утечек, которую когда-либо обрабатывали. Данные поступили из двух источников: логов вредоносного ПО, собирающего данные с зараженных устройств, и списков для подбора паролей, полученных из других утечек. Hunt отмечает, что такие списки становятся "ключами от замка" из-за привычки пользователей использовать один и тот же пароль на разных ресурсах.

Для проверки данных Hunt проанализировал собственные старые email-адреса и обратился к подписчикам. Один пользователь подтвердил, что в базе находились как его старые, так и текущие пароли. Особенно показателен случай, когда человек использовал простой пароль, состоящий из другого пароля с добавлением в конце "!!". Это подтверждает распространенную практику создания слабых вариаций паролей, что делает пользователей уязвимыми при утечках данных.

Комментарии (389)

Пользователи обсуждают, что их данные уже неоднократно оказались в утечках, но при этом не ясно, какие именно сервисы пострадали и что делать с этим дальше.
Обсуждается, что вместо того, чтобы собирать и продавать наши данные, компании могли бы просто не собирать лишние данные и не хранить их нешифрованными.
Участники обмениваются опытом использования уникальных email-адресов и менеджеров паролей, но при этом отмечается, что даже при наличии таких инструментов, большинство сайтов всё ещё требуют email-адрес и не поддерживают вход через SSO-провайдеров.
Поднимается вопрос, почему до сих пор не введён стандарт веб-автентификации через асимметричные ключи, вместо паролей, и почему пароли всё ещё не храняться в виде хеша, а не в открытом виде.