泄露密码

泄露密码
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
14亿邮箱泄露密码明文信息查询网站惊现网络 clouds专栏作者2018-06-10共1843614人围观，发现 30 个不明物体数据安全资讯
home.png

近期，网络上出现了一个14亿邮箱密码泄露信息查询网站：http://dumpedlqezarfife.onion.lu/，访问网站后，可以按照用户名或邮箱地址来查询特定邮箱是否存在密码泄露，查询结果全为明文状态的泄露密码信息。

image.png

安全圈大佬宫哥的微博截图

查询分析
经查询统计，该14亿邮箱密码库涉及Gamil、Hotmail、Yahoo、Sina、qq、163、Sohu、Live、Aol等知名电邮厂商注册用户，另外，还涉及一些公司企业、大学科研机构和少量政府单位的邮箱使用用户。其中泄露的密码信息最早可追溯至2011年，最近的泄露密码日期未知，受影响用户多为我国和欧美地区网络活跃的电邮用户。经测试发现，该库甚至囊括了很多古老和新近的邮箱密码，查询结果让小编惊出一身冷汗。qqcom.png

xjfang-163.png

sinacom.pngxjfang-gmail.pnggov.png重要说明
目前，dumpedlqezarfife.onion.lu网站无需翻墙即可正常浏览访问，与国外密码泄露查询网站 haveibeenpwned 只能查询“是否泄漏”状态不同的是，这个dumpedlqezarfife.onion.lu网站查询出来的泄露密码全是明文信息，存在个人信息二次泄漏风险。虽然其中有些查询出来的密码已经不可利用，可能是多次泄露事件的累积库，但从中可以看到个人的密码使用习惯和构造姿势，包括一些多个邮箱的复用密码和个人生日等隐私信息。

dumpedlqezarfife.onion.lu网站分析
dumpedlqezarfife.onion.lu网站是暗网网站，通过加了.lu后缀的Tor2Web代理服务进行渲染呈现。目前有http和https两种访问方式。网站还开通了比特币、莱特币和以太币三种赞助方式，并提供了数据库购买联系邮箱： anoncase@protonmail.com 。

安全建议
出于对个人信息安全的考虑，Freebuf建议用户及时访问该网站验证自身邮箱受影响情况，修改相关受影响邮箱的密码信息，避免出现进一步的个人信息泄露！同时，需要养成定期修改密码和多个邮箱不复用密码的习惯，谨慎使用邮箱注册或授权至不明网站！

*参考来源：dumpedlqezarfife，FreeBuf 小编 clouds 编译，转载请注明来自 FreeBuf.COM

clouds
clouds
294 篇文章
等级： 9级
||
上一篇：使用带外数据（OOB）从电子表格获取数据下一篇：BUF早餐铺 | 微信开始整治“对骂群”、“互喷群”，严重者封号封群；VPNFilter 恶意程序能降级 HTTPS；今年有11亿美元加密货币被盗
这些评论亮了

no_results_found 回复
哇，好东西，哪位大佬去要裤子分享一下
)16(亮了

背锅侠回复
谷歌浏览器下载skyzip翻墙插件打开暗网域dumpedlqezarfife.onion，还有.lu这个域名后缀只是tor2web技术提供暗网网站不需要tor浏览器一般浏览器能访问，.lu后缀whois信息跟dumpedlqezarfife.onion毫无关系，就跟谷歌.link后缀一样，你把谷歌.link后缀whois信息发出来有什么意义
)13(亮了

snowden 回复
@ freefinger 不写出来，你这贱民怎会知道自己被爆了还不知道！
)12(亮了

MyKings (3级)回复
https://github.com/philipperemy/tensorflow-1.4-billion-password-analysis
)8(亮了
发表评论已有 30 条评论

no_results_found 2018-06-10回复 1楼
哇，好东西，哪位大佬去要裤子分享一下

亮了(16)

Akane (8级) 2018-06-10回复 2楼
好几个邮箱都中招了，不过都是N年前的密码，当时的密码策略太弱了……

亮了(3)

yjd (4级) 2018-06-11回复
@ Akane 跟密码弱没有关系。都是csdn害的明文保存。我的也是这站泄露。

亮了(2)

Jazzbass (1级) 2018-06-10回复 3楼
挂掉了

亮了(1)

Akane (8级) 2018-06-10回复
@ Jazzbass 嗯，十分钟前还好的，一披露就被封杀了么这效率

亮了(2)

奥斯维辛矿工 (2级) Kali Linux入门级 2018-06-10回复 4楼
这个网站好卡，而且输入邮箱后页面一直在加载中

亮了(2)

黑客小平哥 (3级) 2018-06-10回复 5楼
用不了了貌似

亮了(1)

KDKJ (2级) 2018-06-10回复 6楼
访问不了发了有啥用？吸引眼球吗

亮了(3)

skerous 2018-06-10回复 7楼
妈蛋，随手一查，连大学里面老师的邮箱都泄露了，这……

亮了(1)

keday 2018-06-10回复 8楼
这不是去年泄露的那14G的数据吗

亮了(2)

Endt4sk (1级) 2018-06-10回复 9楼
这就和小黄网一样，每次都是被封了，上新闻了，才知道这么个网站

亮了(4)

GFW 2018-06-10回复 10楼
了解。

亮了(0)

傻屌 2018-06-10回复 11楼
这个网站就是用来收集活跃邮箱的，只有活跃邮箱才被人在乎

亮了(2)

freefinger (1级) 2018-06-10回复 12楼
真是吃饱撑的，一个社工裤网站还写一篇文章公开，造成信息泄露你负责吗

亮了(2)

snowden 2018-06-10回复
@ freefinger 不写出来，你这贱民怎会知道自己被爆了还不知道！

亮了(12)

1455018613 (4级) 1455018613 2018-06-10回复 13楼
真快。。

亮了(0)

skystephens (1级) 2018-06-10回复 14楼
封得真够快的。想自查一下都没有机会了

亮了(0)

背锅侠 2018-06-10回复 15楼
谷歌浏览器下载skyzip翻墙插件打开暗网域dumpedlqezarfife.onion，还有.lu这个域名后缀只是tor2web技术提供暗网网站不需要tor浏览器一般浏览器能访问，.lu后缀whois信息跟dumpedlqezarfife.onion毫无关系，就跟谷歌.link后缀一样，你把谷歌.link后缀whois信息发出来有什么意义

亮了(13)

1455018613 (4级) 1455018613 2018-06-11回复
@ 背锅侠貌似都不能访问了

亮了(0)

虫子 2018-06-11回复 16楼
大牛啊

亮了(0)

shystartree (2级) 2018-06-11回复 17楼
封了？

亮了(0)

zuoshi (2级) 2018-06-11回复 18楼
还能翻墙看不。。。

亮了(0)

fje 2018-06-11回复 19楼
哎呦还是个暗网

亮了(1)

神尼瑪 2018-06-11回复 20楼
還在,但速度,神尼瑪慢

亮了(0)

每天一杯鸿毛 2018-06-11回复 21楼
有一个注册加速器的邮箱中招了，别的都没事..

亮了(0)

ZTR05 2018-06-11回复 22楼
这个裤子数据都是1-10年前的了，作者自己也这么说，而且最近也不会有更新了

亮了(1)

MyKings (3级) 2018-06-13回复 23楼
https://github.com/philipperemy/tensorflow-1.4-billion-password-analysis

亮了(8)

Akey11 (1级) 判官幻影 2018-06-13回复 24楼
:roll:

亮了(0)

hi 2018-06-13回复 25楼
确实是去年的，炒了个冷饭？

亮了(1)

Master (3级) 2018-06-23回复 26楼
还可以。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
clouds
clouds专栏作者

I am a robot ,do not talk to me ,code to me.

294
文章数
38
评论数
最近文章
市面上多种流行的固态硬盘产品存在硬盘加密机制绕过漏洞
2018.11.11

看我如何利用发现的漏洞接管D-Link路由器
2018.11.10

研究人员欲公布微软Edge浏览器0-day沙盒逃逸漏洞
2018.11.08

浏览更多
相关阅读
BUF早餐铺 | Linux 内核出现漏洞可触发远程DoS攻击；谷歌要求安卓9.0设备加入防回滚机制；顺丰上线下单“隐址件”，收寄双方均看不到对方信息快讯 | PayPal子公司TIO Networks被曝数据泄露，约160万名用户受害【更新官方回应】FBI网站被黑致数据泄露？官方称这根本是个骗局Cloudflare泄露用户信息长达数月：系“编程错误”导致快讯 | 国泰航空数据泄露，940万乘客受影响
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论