余弦：八卦隐私大爆炸

关于隐私泄露相关的话题过去几年我写过不少，感兴趣的可以翻看我历史文章，这里再继续八卦八卦吧，让不懂的人开开眼。 最近两个站点特别火： leakedsource.com 截止目前已经收集了 18 亿多的用户隐私记录，这些记录如图： LinkedIn、MySpace、Badoo、VK、Twitter，哪个不是重量级，出现一个，全球风波一轮，用户的小心脏啊... 看看这几个的密码策略：

LinkedIn - SHA1 不加盐 MySpace - SHA1 不加盐 Badoo - MD5 不加盐 VK - 明文密码 Twitter - 明文密码，不过这个明文来自用户浏览器本地保存的明文，由于感染了恶意软件，导致这些密码被偷，Twitter 本身是密文加密的 科普：一般来说，密码加盐（salt，如一个随机字符串）是普遍的安全措施，能防止密码被轻易破解。如果不加盐，那么通过足够大的彩虹表与计算是可以轻易破解的

haveibeenpwned.com 这个站点收集了更多，如图： 放眼望去，都是国外的，那么国内的呢？恩...等等，列不下，这里就不列了...再等等，有没有更多更多的隐私库？有啊，但是我现在暂时不八卦，有机会未来继续第二篇。 这么多隐私库泄露，都是怎么泄露的？大概总结如下：

1. 目标网站因为漏洞被拖库
2. 目标网站出现内鬼，直接把库带出来
3. 目标网站出现 XSS/CSRF 等类型的蠕虫，通过蠕虫传播得到一堆隐私
4. 目标网站的目标用户被大规模钓鱼，通过钓鱼得到一堆隐私
5. 目标网站的大量用户终端感染了恶意软件，得到目标网站隐私（包括保存在浏览器本地的明文密码）
6. 上条的终端恶意软件更换为浏览器恶意扩展，效果一样
7. 目标网站的用户上网流量被各种神神秘秘的中间人劫持，得到目标网站隐私（可能包括传输过程中的明文密码）
8. 目标网站的第三方流行应用被拖库，间接导致
9. 目标网站被撞库
10. ...

这么多隐私库，黑客到底能怎样？见我两年多前写的文章：如果你掌握「隐私武器」。 我们该怎么办？见我前些天的文章：黑科技之一个靠谱的密码记忆模型（文章底部的留言也精彩），然后定期修改密码且随机应变。 最后：人那，开心最重要，别活得太累，你说对吧？:) 题图：还是来自 L1nux3rr0r，一个有故事的黑客 ----------------- 余弦@知道创宇 关于我，回复 about 查阅 微信公众号「Lazy-Thought」，一群黑客在维护，都很懒

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/