【译】4200 万用户密码文件被上传至 kayo.moe 托管服务

Kayo.moe是一个免费的，公共的，匿名的托管服务。该服务的运营商（Kayo）本周早些时候与我联系并告知他们注意到上传到该网站的一组包含敏感数据的文件。让我尽早清楚地了解这件事：

这不是关于kayo.moe的数据泄露 - 绝对没有迹象表明任何安全事件涉及到该服务的脆弱性。

由于担心这些数据可能涉及之前未知的漏洞，Kayo随后向我发送了总计为1.8GB的755个文件。绝大多数文件的格式与此类似：

这是用于凭证填充攻击的非常典型的用户名：密码对。这些攻击通常从多个漏洞中获取数据，然后将它们合并为一个统一列表，以便它们可用于尝试对其他服务的帐户接管。去年5月，我从其他类似的事件中加载了超过10 亿条记录，它给人们带来的真正风险是，如果他们在多个地方重复使用密码，那么每个帐户现在都处于危险之中，他们的用户名和密码出现在其中一个列表中。

数据还包含各种其他文件; 一些包含日志，一些包含部分信用卡数据，一些包含Spotify详细信息。然而，这并不表示Spotify有漏洞，因为我深入研究了它，每次有粘贴行为时都暗示有漏洞，它总会通过重复使用的密码回来进行帐户接管。简而言之，这些数据是打算用于恶意目的的数据来源的组合。

当我从文件中提取电子邮件地址时，我发现了近42M的唯一值。我拿了一个样本集，发现其中约有89％已经在HIBP中，这意味着有大量的数据我以前从未见过（后来，在加载整个数据集之后，这个数字上升到了93％）。导致这些数据出现的漏洞没有单一的模式，唯一值得注意的是在（有可能是捏造的）Badoo事件中，Facebook的数字电子邮件地址别名的命中率很高。把这个数字按照比例转换成整个数据集，我从来没有见过超过4M的地址，所以我加载了数据。

这样的数据加载后总会有问题，所以让我做一个非常简短的问答：

文件名是否表明来源？不，每个文件名都是混淆的，我相信作为kayo.moe上传过程的一部分。

我可以提供使用的密码吗？不，我已经写过为什么不这样做，它仍然对违规者和我自己造成了不可接受的风险。

以前看过这些密码吗？我发现一组样本数据显示超过91％的密码已经在Pwned Passwords中，所以如果您担心自己的密码，请查看。

你会将这些加载到Pwned Passwords中吗？有可能。我犹豫的是，有大量文件并非都是一致的格式，所以这是一项非常重要的操作。我正致力于研究它，但我不能在其上加上时间表。

这不会使数据在HIBP中无用吗？我一次又一次地问我是否应该在上面提到的限制条件下加载这样的事件，我总是得到一个响亮的“是”。如果它对您没用，请忽略它。

我能做些什么呢？这些列表利用了密码重用，因此如果您不重复使用密码，那么一切都很好。如果是，建议您使用一个密码管理器（我使用1Password）。

简而言之，这是另一个意识事件。我向HIBP订阅者做出了承诺，当我看到他们的数据时让他们知道，即使它不像具有明确可识别来源的数据泄露那样立即可行。说实话，如果你的个人安全行为达到了一定程度，这是一个非事件。

kayo.moe凭证填充数据现在在HIBP中，与之前的类似数据集一样，它被标记为未验证。

原文链接：https://www.troyhunt.com/the-42m-record-kayo-moe-credential-stuffing-data/