セキュリティショップの @4iQ が、14 億件以上の電子メール アドレス、パスワード、その他の認証情報をすべて平文で含むデータ ダンプをオンラインで発見しました。
41ギガバイトのファイルは12月5日に発見され、先月末に更新されていたことから、データは最新のものであり、第三者によって使用されていることが示唆されています。収集者の身元は不明ですが、この人物は寄付用のビットコインとドージコインのウォレット情報を残していました。
「パスワードはどれも暗号化されていません。さらに恐ろしいのは、これらのパスワードの一部をテストしたところ、ほとんどが本物であることが確認されたことです」と、@4iQの創設者であるフリオ・カサル氏は述べています。「今回の漏洩は、これまで最大の認証情報漏洩事件であるExploit.inのコンボリスト(7億9,700万件のレコードが漏洩した)のほぼ2倍の規模です。」
このダンプにはExploit.inのリストが含まれており、以前に盗難が報告された記録も含まれていますが、多くのデータは新たに追加されたものです。検索を容易にするためにすべてインデックス化されており、検索ツールもアーカイブに含まれています。
憂慮すべきことに、アーカイブには、強力なパスワードを選ぶための長年のアドバイスが依然として無視されていることも示されています。悲しいことに、最も多く使われているパスワードは依然として123456で、続いて123456789、qwerty、password、111111となっています。また、一部のアカウントの履歴を見ると、他のパスワードを推測しやすくするような、わずかなバリエーションが見られます。
可能な組み合わせを推測するのは、それほど難しいことではありません
同社が受信者の一部に連絡を取ったところ、多くのメールアドレスはまだ有効であることが判明しましたが、パスワードはほとんどの場合使用されていませんでした。とはいえ、これらのパスワードは他のアカウントでも使用されていた可能性があり、ハッカーにとって作業がはるかに容易になりました。®
