外媒：“有史以来最大规模”的数据泄露事件并不是那么糟糕

据外媒报道，今年年初曾发生一起称为Collection #1的大规模数据泄露事件，包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如，在2016年，有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。

外媒认为，如果仔细阅读所泄露的数据，与过去的其他大规模数据泄露事件相比，Collection #1事件实际上并没有那么糟糕。根据首次报告和分析它的安全研究员 Troy Hunt 的说法，这个数据集包括7.73亿个唯一的电子邮件地址和2100万个唯一密码。

但这里有一些关键的因素。首先，这是几个旧数据泄露的集合。事实上，在这个系列中的7.73亿个唯一的电子邮件地址中，只有1.41亿（约18％）未包含在 Hunt的“ Have I Been Pwned”服务中。在2100多万个密码中，有一半不在数据库中。

这意味着很可能，用户旧的简单密码之前已经被窃取，并且用户应该已经收到过“ Have I Been Pwned”等服务的通知了。正如Hunt所说的那样，“我的希望是，对于许多人来说，这将是他们需要对他们的在线安全态势做出重大改变的提示。”

外媒认为，用户需要做的重要改变是确保使用唯一的密码，并在任何地方启用双因素身份验证。当Collection #1之类的数据泄露事件发生时，网络犯罪分子会使用所谓的撞库(Credential-Stuffing)入侵用户的帐户，这几乎是用户在线安全面临的唯一真正风险。这些是自动攻击，黑客通过收集互联网已泄露的用户和密码信息，尝试批量登陆其他网站后，得到一系列可以登录的账户。

而如果用户使用唯一的密码和双因素身份认证，这些攻击将无法正常工作。