最大的密码汇编包含近百亿个唯一密码，在一个流行的黑客论坛上被泄露。Cybernews 研究团队认为，此次泄露对倾向于重复使用密码的用户构成了严重威胁。

Cybernews 研究人员发现了似乎是最大的密码汇编，其中包含惊人的 9,948,575,739 个独特的明文密码。包含数据的文件名为 rockyou2024.txt，由论坛用户 ObamaCare 于 7 月 4 日发布。

虽然该用户于 2024 年 5 月下旬注册，但他们之前曾共享过 Simmons & Simmons 律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及伯灵顿县罗文学院的学生申请。

Cybernews 研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照，结果显示这些密码来自新旧数据泄露的混合。

研究人员表示：“从本质上讲，RockYou2024 泄露的是世界各地个人使用的真实密码汇编，大大增加了凭证填充攻击（就是中国网民熟悉的撞库攻击）的风险。”

凭证填充攻击可能会对用户和企业造成严重损害。例如，最近针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的一波攻击就是受害者云服务提供商 Snowflake 遭受凭证填充攻击的直接结果。

该团队解释说：“攻击者可以利用 RockYou2024 密码汇编进行暴力攻击，泄露的数据集中包含各种个人用户使用的在线帐户密码。”

并非第一次

RockYou2024 密码汇编并非从天而降。三年前，Cybernews 发表了一篇关于RockYou2021密码汇编的文章，当时最大的密码汇编包含 84 亿个纯文本密码。

根据该团队对 RockYou2024 的分析，攻击者通过在互联网上搜索数据泄露来开发数据集，从 2021 年到 2024 年又增加了 15 亿个密码，使数据集增加了 15%。

RockYou2021 汇编是 2009 年数据泄露事件的扩展，其中包含数千万个社交媒体账户的用户密码。然而，自那以后，汇编数量呈指数级增长。最有可能的是，最新的 RockYou 版本包含了 20 多年来从 4,000 多个数据库收集的信息。

Cybernews 团队认为，攻击者可以利用多达 100 亿的 RockYou2024 汇编来攻击任何未受暴力破解攻击保护的系统。这包括从在线和离线服务到接入互联网的一切工业硬件。

“此外，结合黑客论坛和市场上其他泄露的数据库（例如包含用户电子邮件地址和其他凭证），RockYou2024 可能导致一系列数据泄露、金融欺诈和身份盗窃。”该团队表示。

如何防范 RockYou2024？

显然，并没有灵丹妙药来保护已暴露密码的用户，但受影响的个人和组织可以采取缓解策略。安全研究人员建议：

1.使用随机密码管理器来随机生成复杂密码，比如Chrome浏览器自带的密码管理工具，可以随机生成密码，并可以对弱密码、已泄露密码进行检测；

2.使用多重验证工具进行身份验证，微软、谷歌均提供了Authenticator验证工具，建议网民通过苹果、安卓应用商店下载安装。

3.中国主流互联网服务均支持社交媒体工具（微信、支付宝、抖音等）扫码验证或手机短信验证，部分与金融服务相关的关键业务必须通过刷脸验证或人工验证。

新闻链接：

https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/