密码泄露查询 火狐出了个密码泄露检测工具，我们来聊聊“查泄露”这件事

图片来源:视觉中国

钛媒注:本文来源于微信官方账号光黑科技(千黑科技)，作者:莫邪，钛媒授权转载。

近日，Firefox (Firefox浏览器)正式推出了一个密码泄露检测网站——Firefox Monitor。用法很简单。输入您经常用来注册帐户的电子邮件地址，它可以告诉您您的帐户密码是否已被泄露。

不仅如此，你还可以订阅一个数据泄露警报，万一有新的数据泄露，它会给你发邮件提醒。

网站是:monitor.firefox.com。每个人都有空。你不妨检查一下自己的数据泄露情况。

接下来我给大家讲讲“查漏”这件事。

其实这种网站并不是第一次出现。大概五六年前流行过一段时间，后来大部分都被杀了。原因后面会解释。

它的原理并不复杂:

某网站的数据库被黑客复制拖走，叫脱裤子(拖库)；

早年，黑客大多喜欢饭后收“裤子”。网上流传的各种“裤子”都会被他们聚拢在一起，要么珍藏，要么玩弄。

就像宅男们喜欢在有u盘的电脑里交换学习资料一样，黑客偶尔也会“和穿裤子的朋友见面”。

后来有人专门建立了一个网站，为外界提供一个查询接口，于是检查数据泄露的网站就诞生了。

这类网站不仅使用自己收集的泄露数据库，有时还会访问其他网站的API接口，大家互相串联使用数据。

比如你在Firefox的Firefox Mnitor上查询一个结果，会显示“泄露的数据是我被Pwned提供的”。

显然，它调用的是“我被Pwned了吗”的数据接口。

这是一个老式的数据泄露查询网站，是数据泄露查询领域的肩膀。如果你想了解这类网站的进化史，大概可以从它入手。

该网站始于2013年，创始人是为微软工作的高级安全专家特洛伊·亨特(Troy Hunt)。

早在2010年，数据泄露事件就像天上的闪电，不时在公众视野中爆炸。亨特作为安全专家，被指派做技术研究和数据泄露趋势分析。

他纠结于一个问题:

数亿人被商业公司莫名其妙地泄露了私人数据、账户密码、身份证号码，甚至家庭地址...他们是真正的受害者，但相当一部分人没有知识？这不合理。

俗话说“人坐在家里，锅从天上来，死了才明白。”他决定帮助人们维护他们的知情权和知情权。

2013年10月，知名软件公司Adobe披露前所未有的数据泄露，影响1.52亿账户，亨特再也坐不住了。

接下来的一个月，他在博客上发布了一个网站，名为“我被解雇了吗？”(我被操了吗？)

现在全球最著名的泄密查询网站诞生了！

与现在不同的是，它一开始只支持五个泄露的数据库查询，其中三个应该大家都很熟悉:Adobe、雅虎、索尼

网站一经上线，访问量迅速增加，吃瓜的人一小群一小群来询问是否被招。亨特发现它真的能帮助很多人，并且有继续做下去的动力。(本网站查询服务一直免费)

在他和很多互联网公司的共同努力下，我被Pwned(名字太长，以下简称HIBP)的数据库越来越大。

但真正的流量爆发是在2015年。

2015年7月，一个叫阿什利·麦迪逊(Ashley Madison)的网站被拖到图书馆，数据库传到了公网。亨特按照惯例，找到了公开流通的数据库，加到HIBP的数据库里，让人查询。

本来这只是常规操作，问题出现了。

这个被拖走的网站是大炮网站，公开鼓励人们搞婚外情，找外遇...

该网站泄露了30万注册用户的账户密码和信息，亨特也将其挂在网上供公众查询。

突然隔壁30万老王被抓，同时在床上被强奸。。。

HIBP网站突然爆炸。人们蜂拥而至，输入自己的电子邮件，以及各行各业的亲戚朋友、同事老板、三姑二姨的电子邮件，了解他们是否注册了这个网站。

我当时脑子里充满了尴尬:

“你听说了吗？在大楼的底部，68岁的看门人注册了阿什利·麦迪逊炮兵网站……”

“哦，硬朗！对了，听说XX部门的人都注册了！

“是吗！哈哈哈哈……”

据亨特回忆，那次事件使HIBP网站的访问量增加了57000%。

但与此同时，他立即意识到隐私保护的严重问题——Hipp不限制人们查询他人的隐私泄露，这会导致另一种形式的隐私泄露。

从那以后，亨特增加了一些安全措施，但每当他遇到色情网站和约会网站等敏感内容时，他只通过电子邮件告诉询问者，而不是公开显示。没多久，又有一个关于炮兵的网站泄露了数据(没有提到网站名称)，这个措施真的派上了用场。

Hipp越来越出名了。后来有人匿名“投稿”，主动把自己的数据库给亨特，让他挂在Hipp上，让人公开查漏。

2015年10月初，一名匿名黑客联系亨特，声称他手里有1350万个清晰的账户密码，并告诉亨特，这些数据是从著名的虚拟主机制造商“000webhost”泄露的。

亨特大吃一惊，立即联系了《福布斯》杂志，并与他们一起联系了受害用户，以确认数据库的真实性。

然而，当他们紧急联系泄露数据的制造商“000webhost”时，对方没有给予任何回复。

月底，亨特将数据库添加到HIBP，《福布斯》杂志发表文章报道“000webhost”终于憋不住，在社交媒体上承认数据泄露。

不到一个月后，电子玩具制造商Vtech被曝光并拖进了图书馆，另一个匿名黑客给亨特发了一个数据包，涉及500万儿童及其父母的账户记录，也加入了HIBP的图书馆。

就是这样。HIBP的数据量增长越来越快...

到2016年，数据泄露的数量突然增加，这是前所未有的:3.6亿个Myspace账户，1.64亿个LinkedIn账户，6500万个Tumblr账户...

这些数据最初来自一个名叫“安心”的人，他在黑网上公开出售这些数据。没多久都加到了HIBP。不知道是亨特直接从黑客手里买的还是别人从黑客手里买的送给他的。

但需要注意的是，这些数据泄露并不是2016年发生的，而是几年前被拖进数据库的，直到2016年才浮出水面。比如2009年Myspace数据泄露，2012年LinkedIn，2013年Tumblr。

出售这些数据的黑客“安心”也证实了这样一个事实，即这些数据在公开之前已经被交易过多次。几乎每个人都在开始公开出售它以赚取额外的钱之前使用它...

话分两头。一方面，HIBP发展迅速，另一方面，中国网民也开始建立自己的数据泄露查询网站。

但由于当时国内相关法律并不是特别完善，人们对数据隐私的意识相对欠缺，所以国内这类网站的成长环境要比国外广泛得多。

2013年10月，国内互联网上出现了一个叫“签到室”的网站。有网友在上面输入了自己的名字，很快找到了某知名连锁酒店的几条入住记录，真实无误。而且还能找到相关的身份证号、生日、地址等信息。

根据当时的新闻，数据涉及2000万人的酒店入住信息。

“查房开房”一推出，整个网络就火了。

有多热？网站上线后两天内无法开通。有人怀疑有人报警被勒令下线，但第二天网站又上线了。人们意识到离线的原因是网站访问量太大，服务器承受不了压力而瘫痪了...

除了对酒店泄露数据的查询，近年来国内还出现了一批专门查询账户密码泄露的网站。

2016年左右，我曾经在这样一个网站上找到自己的真实姓名、身份证号、邮箱、籍贯、账号密码等隐私信息。网站上说，数据是某知名火车票销售网站泄露的……当时我很愤怒，也很无力，我的数据被泄露了却无能为力。

至少我知道我的数据被泄露了，我的家人、同事、亲戚朋友……还有更多的人不知道自己的数据被泄露了。

不幸的是，在中国没有像我这样的网站。

当时在国内建立这类网站的人大多没有隐私保护意识。在网站上输入你要查询的账号，不仅可以告诉你是否被泄露，还可以直接显示泄露数据的细节:

因此，人们不仅可以查询自己的信息，还可以查询别人的信息。很多人用它来调查别人的隐私。

许多网站，可以帮助普通人获得知情权，就像我被解雇了一样，已经成为公众眼中专门用来查找他人隐私信息的工具——“社会工作者图书馆”。

有些网站明明写着“帮助人们找回丢失的旧密码”，实质上却成了专门用来调查他人隐私的工具。

一个社会工作图书馆说“找到你丢失的密码”

2016年，我国有关网络安全的法律法规开始大幅度完善和实施，人们明显感觉到“网络安全的氛围正在发生变化”。

随着新闻媒体对社会工作图书馆的报道，相关部门开始介入，一批批“社会工作图书馆”像多米诺骨牌一样轰然倒塌。

建立社会工作图书馆的人是不是为了帮助人们找回密码？还是帮助人们了解数据泄露？还是说他们是为了寻找别人的隐私？

可能两者都有，但是现在没有办法研究。但无论如何，侵犯了市民的隐私和安全，他们的目的地也是一样的——关闭车站。

著名的社会工作图书馆Findmima在发布声明后被匆忙关闭

据公开消息，2016年3月，江苏省淮安市警方破获一起侵犯公民个人信息案件，抓获犯罪嫌疑人8人，捣毁全国最大的网络社会工作图书馆“K8社会工作图书馆”，查获公民个人信息20亿条。

到现在很多人手里还握着那些“旧裤子”，还有一些新裤会继续在小区域和地下黑市流传。

但没人敢公开承认自己手里有“裤子”，更别说让他们出来让人打听了，因为没人敢碰这条红线。

可惜账号泄露和酒店信息泄露并没有随着社会工程图书馆和查房开房网站的消失而消失。

有时候我觉得，“社工图书馆”侵犯了人的隐私，但也不全是坏事。至少可以让事件浮出水面，暴露在阳光下，赋予公民知情权，从而加快遏制真正的信息泄露源头。

我当然不想支持成立社工银行。但是有没有可能在中国出现一个“社会工程库改良版”，可以帮助国内网民获得更多关于数据泄露事件的知识，就像《我被Pwned》和Firefox所做的那样，而不是在不知情的情况下面对数据泄露束手无策？

我把这个想法告诉了一个朋友，朋友说我想多了。

他说:“现在把数据库拿在手里是违法的。谁敢做这种网站马上就抓！所以，不要指望(国内有这样的网站)...而且近几年数据泄露时间的泄露频率比那些年少很多。不信你可以去我被Pwned，Firefox Monitor之类的网站上查一下，大部分都是多年前曝光的老库！近年来，新数据库越来越少。”

我按他说的进了几个邮箱做安全测试，火狐Monitor表示有漏洞。HIBP暗示我有9个漏洞。

这个结果和我三年前搜的一模一样，和那些网站一样。

朋友说:“查询结果和三年前一样。你觉得你的账号这三年一次都没被泄露吗？可能只是这些查询网站都没有加《新裤子》。”

希望火狐和我被Pwned能跟上时代。

参考文章:

福利吧论坛。“火狐官方密码泄露查询频道”

奥科。雷锋网。“暗网地下交易:你的密码只值一分钱”

百度百科词条:“查房”

V2ex post。“最齐全的社工库免费查询，太可怕了。。查看所有推荐。”

维基百科条目:我已经注册了