簡介

Have I Been Pwned (HIBP) 已經取得了大量被稱為「ALIEN TXTBASE」的竊取日誌，其中包含 230 億行，包含 4.93 億個唯一網站和電子郵件地址，影響了 2.84 億個特別的電子郵件地址。另外將 2.44 億個以前從未見過的密碼已添加到 Pwned Passwords 中，並且 1.99 億個現有密碼已更新。網域所有者現在可以查詢整個網域的竊取者日誌，網站業者也可以識別電子郵件地址已洩露的客戶。

ALIEN TXTBASE 的來源

ALIEN TXTBASE 資料源自 Telegram 頻道。該頻道包含744個檔案。網路犯罪分子利用這些管道分發被盜認證。這些資料通常透過提供新獲取日誌的訂閱來賺錢，從而進一步利用受​​害者。受害者的機器最初是透過惡意軟體（例如盜版軟體）受到攻擊的。

驗證流程

驗證竊取者日誌涉及確認各個網站上是否存在電子郵件地址。與離散網站入侵不同，竊取者的日誌包含許多網站的認證。測試日誌中找到的電子郵件地址可以確認它們在相應服務中的存在。在某些情況下，可能需要考慮地理圍欄邏輯(geo-fencing logic)。

竊取者日誌的內容

竊取者日誌可以洞悉一個人的數位生活，揭示其造訪過的網站和使用的服務。這些資訊可能會洩漏個人訊息，例如興趣、技術偏好，甚至是他們駕駛的汽車。雖然資料大部分是合法的，但可能存在一些垃圾資料，例如偽造的電子郵件地址。

新的 HIBP 功能

引入了兩個新 API 來增強竊取者日誌的可搜尋性：
• 透過電子郵件網域查詢竊取者日誌：允許網域擁有者擷取電子郵件地址別名和關聯的網站網域。
• 依網站網域查詢竊取者日誌：使網站業者能夠識別認證已外洩的客戶。這些 API 調整為適合較大的組織，並使用 Pwned 5 層定價。違規模型中新增了「IsStealerLog」標誌，讓使用者以不同於其他違規的方式處理竊取者日誌。

Pwned Passwords 更新

HIBP 的 Pwned Passwords 已更新，新增 2.44 億個密碼。該服務每月處理 100 億次請求，可協助用戶做出明智的密碼選擇。

HIBP 實務

組織使用 HIBP 資料來增強安全措施。例如，Basecamp 根據 HIBP 資料庫驗證新帳戶和密碼更新。許多組織發現竊取者日誌是解釋以前無法解釋的惡意活動模式的缺失部分。

技術重點

處理 ALIEN TXTBASE 資料涉及幾個步驟，包括提取唯一的電子郵件地址、處理日誌檔案、整合資料以及將其上傳到 SQL Azure。儘管雲端處理具有優勢，但使用.NET 的本地處理已被證明更有效率。

結論

總之，「ALIEN TXTBASE Stealer Logs」已整合到 Have I Been Pwned (HIBP) 中，它將 230 億原始行轉換為可管理和可搜尋的資料集。這項新增功能增強了 HIBP 的功能，為網域所有者和網站營運商提供了識別受損認證和減輕惡意活動的工具。主要成果和功能包括：

• 擴充功能的搜尋功能：兩個新 API 允許透過電子郵件網域和網站網域查詢竊取者日誌，從而促進對受損認證的全面搜尋。
• Pwned Passwords 更新：Pwned Passwords 儲存庫中新增了 2.44 億個新密碼，幫助用戶選擇安全的密碼。
• 實際應用： 組織可以利用 HIBP 資料來增強安全措施、識別惡意活動來源並主動阻止潛在損害。
• 免費存取：使用通知服務透過電子郵件顯示竊取程式日誌結果的 Web UI 對個人使用者仍然免費。
• 來源與驗證：資料來自 Telegram 頻道，並透過密碼重設確認和地理驗證等方法進行驗證。

這些資料的處理涉及大量的技術工作，凸顯處理大量敏感資訊的複雜性。儘管面臨挑戰，ALIEN TXTBASE 與 HIBP 的整合為個人和組織防範網路威脅提供了寶貴的資源。

參考資料