“COLLECTION #1”大规模数据库外泄事件只是一个开始

摘要
前不久，国外研究者公布的“Collection #1事件”引发多方关注，此次大规模数据库外泄事件使数亿个电子邮件账号和密码被公布到网上，但网络安全专家表示，此次泄露的数据只是九牛一毛。详细报道请见下文。

据外媒报道，近日，一个名为“Collection #1”的敏感信息合集被发布到互联网上，里面包含了数亿个电子邮件账号和密码。研究人员表示，目前互联网上流传着大量类似的信息合集，数量远远超过了本次泄露的信息。

安全研究员 Troy Hunt 披露，一个流行的黑客论坛正在讨论 MEGA 上的一个公开数据集，其容量超过 87GB，包含了至少7.73 亿电子邮件地址和 2122 万个唯一密码。论坛上公开的一个图像显示数据集的根文件夹名字叫Collection #1，因此这一次的数据泄露被称为 Collection #1。

网络安全记者Brian Krebs报道，他从某个出售这种信息合集的人那了解到，这次泄露的信息只是一小部分。Collection #1的文件大小约为87GB，而整个信息合集的总量是这个数字的十倍之多。有个卖家有七个合集，其中一个合集的大小甚至超过500GB。

网络安全专家警告称，该事件是有史以来规模最大的数据泄露事件，但这仅仅是个开始，以后网上可能还会泄露更多的电子邮件地址和登录信息。外国网络安全专家表示，如今黑客变得越来越老练，希望此次事件给拥有电子邮箱的人敲响了警钟。

黑客可以以较低廉的价格购买像Collection #1这样的数据，从而进行各种网络攻击。其中最主要的是用于“撞库”(credential stuffing)，黑客可以用快速、自动化的方式在不同的网站中尝试之前获取的密码，从而得出用户是否在不同网站上重复使用了被盗电子邮箱账号的密码。

难以想象如果是企业机构或政府部门的办公邮箱密码泄露，从而会引起更进一步的系统或内部敏感数据泄露事件。对此安全专家建议用户使用不同的密码并定期更换，这样被盗密码就无法被黑客利用，也可以使用密码管理器保护密码。

另外选择安全可控的数据库也十分重要。国外数据库很难保证安全可控，很难确保国外产品中不含“逻辑炸弹”和“后门”，可能给信息安全带来极大威胁。在信息时代，数据库如同人体的神经中枢，一旦瘫痪，后果不堪设想。网络安全和信息化工作被国家高度重视，在网络安全、自主可控等方面出台了一系列政策，建立国家信息安全战略体系。在电力、电信、金融等关系国民经济命脉的行业，开始去“IOE”。

优炫软件在去IOE大势下坚持走国产自主化道路，优炫数据库为优炫软件自主研发、安全可控，是一款为大数据时代打造的安全新型数据库，具有强伸缩性(可任意扩容、高性能)、高可用性、数据一致性、支持多租户、高安全性等特点。