この調査では、匿名のログインデータを収集するためのGoogleとChrome拡張機能による違反通知サービスが使用されました。この拡張機能を持つユーザーがインストールされると、任意のサイトにログインし、匿名ログインハッシュが収集され、Googleに転送されます。これらのログイン資格情報は、40億人のユーザー名とパスワードで構成された侵害されたデータベースに対してチェックされました。
データが漏洩したデータベースと一致した場合、ユーザーにパスワードを変更するよう警告する通知が送信されました。
Google は 2019 年 2 月 5 日から 3 月 4 日までの 1 か月間にデータを分析し、その間に 21,177,237 件のログインが監視されました。約670,000人のユーザーがパスワードチェックアップ拡張機能をインストールし、分析されたログインの合計のうち、ほぼ(316,531ログイン)が侵害されたデータベースと一致しました。
すべてのユーザーに警告が送信されましたが、肯定的に回答してパスワードを変更したのはわずか 26% でした。しかし、パスワードを変更したユーザーは、その 60% だけが以前よりも強力なパスワードを作成することができました。
最も多くの警告がエンターテイメントサイトに送信され、警告率は6.3%でした。その後、警告率が3.6%であったアダルトサイトが来ました。
攻撃者は、既に漏洩したパスワードを使用して他のサイトを攻撃しようとすることがよくあります。ただし、サイトごとに固有のパスワードを設定し、攻撃やデータベースの漏洩のリスクがある場合は、常に変更を続ける方が良いです。
Google は拡張機能がインストールされているユーザーからのみデータを収集することができましたが、侵害されたログインの数は予想以上に多くなる可能性があります。オンラインで買い物をしたり、オンラインバンキングを利用したりする人はあまり、デジタルセキュリティに意識を持っていません。
したがって、データ漏洩は、調査で示唆された数よりも多くの人々に影響を与えた可能性があります。
写真: チャキサテリエ / ゲッティ イメージズ / iStock
