火狐出了个密码泄露检测工具 希望它不只是心理安慰

从那之后，亨特加入了一些安全措施，但凡遇到色情网站、相亲网站之类的敏感内容，就只用发邮件的形式告诉查询者，而不是公开展示。过没多久，又一个约炮网站数据泄露（网站名字就不说了），这个措施果然就派上用场。

HIBP 的名气越来越大，后来居然还有人匿名“投稿”，主动把自己手里的数据库主动送给亨特，让他挂在HIBP 上供人公开查泄露。

2015年10月初，一个匿名黑客联系亨特，声称自己手里有1350万条明文的账号密码，并告知亨特这些数据泄露自著名的虚拟主机厂商“000webhost"。

亨特大吃一惊，立马联系福布斯杂志，和他们一起联系受害用户确认了数据库的真实性。

可是，当他们紧急联系上泄露数据的厂商“000webhost”，对方没有给出任何答复。

到了月底，亨特把数据库添进HIBP，福布斯杂志公开写文章报道，“000webhost”这才终于憋不住，在社交媒体承认数据泄露。

又过了不到一个月，电子玩具厂商Vtech 被曝拖库，另一位匿名黑客给亨特发来了数据包，涉及500万条孩子和其父母亲的账户记录，同样添加到HIBP的库里。

这就样，HIBP 的数据量增速越来越快……

到了2016年，数据泄露事件的数量陡然增多，堪称史无前例：3.6亿的Myspace 账户、1.64亿的LinkedIn 账户、6500万的Tumblr 账号………

这些数据最初都来自一个名叫“peace_of_mind”的人在暗网公开售卖，没过多久，它们都被加到了HIBP，也不知道是亨特直接从黑客手里买来的，还是其他人从黑客手里买来之后送给他的。

但需要注意的是，这些数据泄露并不是2016年当年发生的，而是好几年前就被拖库了，只是2016年才浮出水面。比如Myspace数据泄露是在2009年，LinkedIn 是在2012年，Tumblr 则是在2013年。

贩卖这些数据的黑客“Peace of mind” 也同样印证了事实：这些数据在公开之前早就已经过很多遍转手交易了，大家都用得差不多了才开始公开售卖赚点外快……

话分两头。一边是HIBP 在飞速增长，另一边，中国网民也开始搭建起了自己的数据泄露查询网站。

只不过，由于我国相关法律在当时还不是特别完善，以及人们的数据隐私意识相对缺失，国内这类网站的生长环境比国外粗放不少。

2013年10月，国内网上出现了一个叫“查开房”的网站，有网友在上面输入自己的名字，很快查到几条某知名连锁酒店的入住记录，真实无误。而且还能查到相关身份证号、生日、地址等信息。

根据当时新闻的说法，数据涉及2000万人的酒店入住信息，

（当时的新闻图片有点糊了，大家将就看吧）

“查开房”一经推出全网火爆。

有多火爆呢？网站上线没两天就无法打开，有人怀疑是因为有人报了警，被勒令下线了，可第二天网站又重新上线，人们这才意识到下线的原因居然是因为网站访问量太大，服务器承受不住压力宕机了………

除了酒店泄露数据查询，国内那几年也涌现出一批专门用来查询账号密码泄露的网站。

大约在2016 年左右，我就曾在一个此类网站上查到自己的真实姓名、身份证号、邮箱、籍贯、账号密码等隐私信息。据网站显示，数据是由某知名火车票售票网站泄露……当时我非常气愤和无力，自己的数据被泄露了却什么也做不了。

而我好歹还知道自己的数据被泄露了，我的家人、同事、亲戚朋友……还有更多的人都不知道自己数据被泄露了。

（图片源自网络，当时流传的某火车票售票网的数据，不知真假）

但是很可惜，国内并没有发展出类似Have I Been Pwned 这样的网站。

当时国内搭建这类网站的人，多半也没什么隐私保护意识。在网站上输入你要查询的账号，它不仅能告诉你是否被泄露，被哪个网站泄露，而且还会直接展示出泄露数据的详情：

（许多查询网站都直接显示账号密码） 

于是，人们不仅可以查询自己的信息，也可以查询别人的信息。不少人都拿来调查别人的隐私。

许多原本可以像Have I Been Pwned 一样帮助普通老百姓获得知情权的网站，沦为大众眼中专门用来查找他人隐私信息的工具——“社工库”。

一些很多网站明面上写着“帮人们找回丢失的旧密码”，但实质已沦为专门用来调查他人隐私的工具。

（某个社工库写着“找回你丢失的密码”）

到了2016 年，我国网络安全相关法律法规开始大力完善和实施，人们明显感觉到“网络安全的气氛正在改变”。

随着新闻媒体对社工库的报道，有关部门开始介入，，一批批“社工库”像多米诺骨牌一样倒塌。

搭建社工库的人究竟是为了帮助人们找回密码？还是帮人们了解数据泄露情况？还是他们的本意就是用来查找别人的隐私？

或许都有，现在已无从考究。但无论如何，侵犯了公民的隐私安全，它们的归宿都一样——关站。

（知名社工库findmima挂出声明后匆匆关闭）

根据公开新闻，2016年3月，江苏淮安警方侦破一起侵犯公民个人信息案，抓获犯罪嫌疑人8名，捣毁国内最大的网络社工库“K8社工库”，查获公民个人信息20亿条。

到现在，不少人手里还捏着那些“旧裤子”，一些新裤子也会继续在小范围和地下黑市流传。

可再也没有人敢公开承认自己手里有“裤子”，更别说公开放出来供人查询，因为谁也不敢碰这道红线。

但令人遗憾的是，账号泄露、酒店信息泄露的情况并没有随着社工库、查开房网站的消亡而消失。

（图片截取自百度搜索结果页面）

有时候我就思考，“社工库”这个东西虽然侵犯了人们的隐私，但它也并不全是坏的，至少，它能让事件浮出水面，暴露在阳光之下，让公民有了知情权，从而加速遏制住信息泄露的真正源头。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!