每个口令都遭解密，用户安全受到极大威胁。

 

暗网市场就是能买到各种非法物品的集市，从毒品到假证到武器，应有尽有。最近，该市场成为了黑客和网络罪犯们出售所盗数据库的最佳场所，互联网巨头纷纷中招。

　　雅虎账户

昵称“SunTzu583”的供货商在暗网市场出售数百万Gmail和雅虎账户。账户清单于本周挂出，显示所售账户为从2012年Last.FM数据泄露获取到的10万个雅虎账户——Last.FM数据泄露事件中4300万用户账户在2016年9月被公开发布。这些账户包含有明文形式的用户名、电邮地址和口令。可能是因为该数据已经公开，本次账户数据要价仅 0.0079 比特币(10.75美元)。

 

SunTzu583的另一份挂单提供了14.5万个雅虎账户，售价 0.0102 比特币(13.75美元)。这些账户同样包含用户名、电邮地址和被解密的口令。据研究，这些账户来自两次数据泄露，分别为：2013年10月的Adobe数据泄露——1.53亿账户被泄，包含内部ID、用户名、电邮地址、加密口令及明文口令提示；2008年的MySpace数据泄露——3.60亿用户账户被盗，2016年于暗网泄露。

 

　　Gmail账户

谷歌的Gmail向来被认为是最安全的电子邮件服务提供商之一，但遭遇第三方数据泄露致Gmail账户被盗，谷歌也是回天乏力。此处所言数据，为暗网在售的50万个Gmail用户，售价0.0219 比特币(28.24美元)。数据包含来自3次历史泄露的用户名、电子邮件地址和明文口令：2014年的比特币安全论坛数据泄露，2008年的MySpace泄露，以及2013年的Tumblr泄露——数百万账户在网上公之于众。

 

还有一份挂单要价更低： 0.0199 比特币(25.74美元)；出售的是45万Gmail账户。与上述其他挂单类似，这些账户中同样包含电子邮件地址及其明文口令。这份挂单中的数据明显是多个数据泄露的汇编：比特币安全论坛、Tumblr、Last.fm、000webhost、Adobe、Dropbox、Flash Flash Revolution、LookBook和 Xbox360 ISO。必须指出的是，所有这些数据泄露均发生在2010至2016年间。

 

　　数据能用吗？

虽然某些情况下很难验证暗网数据是否有效，但本案例中，HackRead网站在Hacked-DB和Haveibeenpwned之类数据泄露通告平台上进行了查证。

同时，HackRead联系了样本数据中被曝登录凭证的一些用户，在征得同意的情况下登录了不同的平台，包括MySpace、Dropbox、Tumblr等等，发现其中许多人最近刚修改了口令，而某些账户因为没有修改口令而暂时被封。这就凸显出：虽然数据很老，却依然威胁巨大——因为口令是明文形式，且多平台口令打包出售。

强烈建议：若您的账户在上述各数据泄露中出现，而您尚未修改口令，请务必立即修改。

(责任编辑：安博涛)