В начале августа 2017 года владелец ресурса HaveIBeenPwned Трой Хант (Troy Hunt) опубликовал в открытом доступе огромную базу, содержащую более 320 млн хешированных паролей. Эта подборка – результат множества крупных утечек данных, с которыми Хант и HaveIBeenPwned имеют дело каждый день. В блоге эксперт писал, что он решил обнародовать дамп в исследовательских целях, а также в надежде, что это база поможет компаниям и сервисам, например, справиться с проблемой повторного использования паролей.
Дампом Ханта тотчас заинтересовались исследователи из группы CynoSure Prime. Именно они два года назад отреверсили хеши 11 млн утекших паролей Ashley Madison. Теперь, спустя месяц после публикации Ханта, CynoSure Prime объявили, что закончили работу, сообщив, что разобраться с этим огромным массивом данных им помогали ИБ-специалисты @m33x и Ройс Уилльямс (Royce Williams). В своем блоге исследователи представили подробный отчет о расшифровке 320 млн хешей.
Специалисты пишут, что, используя MDXfind, они суммарно обнаружил в дампе 15 основных алгоритмов хеширования, но самым популярным предсказуемо оказался SHA-1. Оказалось, что помимо паролей дамп содержит и личные данные пользователей, которые Трой Хант определенно не собирался публиковать, к примеру, сочетания email-пароль или имена пользователей. CyptoSure Prime говорят, что эта «мусорная» информация попала в базу случайно и теперь должна быть оттуда удалена.
Для расшифровки исследователи использовали MDXfind и Hashcat, а также десятки машин на базе Intel Core i7-6700K, с GeForce GTX 1080 на борту и 64 Гб ОЗУ. Согласно представленному отчету, большинство паролей в базе насчитывают 7-10 символов в длину.