你家網站會員資料是否外洩，Tripwire這個免費開源工具能幫你測

3名來自加州大學聖地牙哥分析的研究人員近日開源了Tripwire工具，可用來推斷網站的會員資料是否外洩了，同時他們也發現所偵測的2300個網站中，有19個存在著資料外洩問題，當中有一個網站的會員數高達4500萬。

Tripwire的概念很簡單，它利用機器人申請眾多網站的帳號，每個帳號都以獨立的電子郵件位址申請，但全都使用同樣的密碼，只要檢查各個電子郵件是否遭到第三方存取，就能用來推斷網站是否遭到駭客入侵。

研究人員於2015年1月到2017年2月的測試期間中，總計註冊了逾2300個網站的帳號，發現當中用以註冊19個網站的電子郵件曾被非法存取。

為了確認是網站而非電子郵件服務供應商遭到入侵，研究人員於同一郵件服務上額外申請了10萬個帳號，結果皆未遭到存取。

Tripwire也能用來檢視網站是以明文或是採用加密方式來儲存使用者的憑證，藉由在每個網站上申請兩個帳號，一個使用7個字符的簡單密碼，另一個使用10個字符的隨機且複雜的密碼，若是兩個帳號都被駭，大概就能猜測網站是以明文來儲存密碼。

值得注意的是，在研究人員所發現的19個被駭網站中，只有1個曾對外公開遭駭情事，其中18個可能是對外隱暪，也可能是連自己都不知道，駭客則企圖保持低調以繼續使用這些憑證，以避免網站要求用戶重設密碼。研究人員並未揭露該擁有4500萬會員數的網站名稱，只說它是美國的新創業者，且顯然是用明文來儲存會員密碼。