史上最大规模的数据泄露:160 亿条登录凭证被曝光
HackerNews 编译,转载请注明出处: 多个凭证数据集曝光了史上最大规模的数据泄露事件之一,总计暴露了惊人的160亿条登录凭证。这些数据很可能源自各种信息窃取程序。 不必要地汇总敏感信息可能与主动窃取数据同样危险。例如,Cybernews研究团队发现了多个超大规模数据集,其中存储了数十亿条登录凭证。从社交媒体、企业平台到VPN和开发者门户,无一幸免。 自今年年初以来,我们的团队一直在密切监控网络活动。截至目前,他们已发现30个被暴露的数据集,每个数据集包含的记录从数千万条到超过35亿条不等。总体而言,研究人员揭露了难以想象的160亿条记录。 除一个数据集外,其他所有被暴露的数据集此前均未报告:今年5月下旬,《连线》杂志曾报道一名安全研究人员发现了一个包含1.84亿条记录的“神秘数据库”。但该数据库的规模在本团队发现的列表中勉强挤进前二十名。最令人担忧的是,研究人员声称每隔几周就会出现新的大规模数据集,这表明信息窃取恶意软件的传播程度远超想象。 研究人员表示:“这不仅仅是一次泄露——它是大规模利用的蓝图。超过160亿条登录记录的暴露,使网络犯罪分子现在能够以前所未有的规模获取个人凭证,这些凭证可用于账户接管、身份盗窃和高度针对性的网络钓鱼攻击。”他们补充道:“尤其令人担忧的是这些数据集的结构和时效性——它们并非回收利用的旧泄露数据。这是新鲜的、可直接用于攻击的大规模情报。” 唯一的一线希望是,所有这些数据集都只是短暂暴露:时间刚好足够研究人员发现它们,但不足以查明是谁在控制这些海量数据。大多数数据集是通过未采取安全措施的Elasticsearch实例或对象存储实例暂时可访问的。 数十亿条暴露的记录包含什么? 研究人员称,泄露数据集中的大部分数据是窃取程序恶意软件(stealer malware)的详细信息、凭证填充(credential stuffing)数据集和重新打包的泄露数据的混合体。 无法有效比较不同数据集之间的数据,但可以肯定存在重复记录。换句话说,无法确切得知实际有多少人或账户被暴露。 然而,团队设法收集到的信息显示,大部分信息遵循清晰的结构:首先是URL,然后是登录详情和密码。大多数现代信息窃取程序——即窃取敏感信息的恶意软件——正是以这种方式收集数据。 泄露数据集中的信息几乎为任何能想到的在线服务敞开了大门,从苹果、Facebook和Google,到GitHub、Telegram以及各种政府服务。当160亿条记录摆在面前时,很难遗漏任何东西。 据研究人员称,如此规模的凭证泄露为钓鱼攻击、账户接管、勒索软件入侵和商业邮件诈骗(BEC)攻击提供了燃料。该团队表示:“新旧窃取程序日志的混合——通常包含令牌(tokens)、cookie和元数据——使得这些数据对缺乏多因素认证(MFA)或凭证管理措施的组织尤其危险。” 哪些数据集暴露了数十亿条凭证? 团队发现的数据集差异很大。例如,最小的数据集以恶意软件命名,包含超过1600万条记录。而最大的一个数据集很可能与葡萄牙语人群相关,包含超过35亿条记录。平均而言,一个暴露凭证的数据集包含5.5亿条记录。 有些数据集命名泛泛,如“logins”(登录)、“credentials”(凭证)等类似术语,导致团队难以深入了解其内容。然而,另一些数据集的名称则暗示了它们关联的服务。 例如,一个包含超过4.55亿条记录的数据集,其名称表明其源于俄罗斯联邦。另一个包含超过6000万条记录的数据集则以Telegram命名,这是一个基于云的即时通讯平台。 该团队强调:“新旧窃取程序日志的混合——通常包含令牌、cookie和元数据——使得这些数据对缺乏多因素认证或凭证管理措施的组织尤其危险。” 虽然命名并非推断数据来源的最佳方式,但似乎部分信息与云服务、商业导向数据甚至加密文件有关。一些数据集的名称很可能指向用于收集数据的某种恶意软件。 目前尚不清楚谁拥有这些泄露的数据。虽然可能是安全研究人员为检查和监控数据泄露而汇编的数据集,但几乎可以肯定其中一些泄露的数据集归网络犯罪分子所有。网络犯罪分子钟爱大规模数据集,因为聚合的数据集能帮助他们扩大各种攻击的规模,例如身份盗窃、钓鱼诈骗和未经授权的访问。 即使成功率不足百分之一,也可能为攻击者打开通向数百万个人的大门,这些人可能被诱骗泄露更敏感的信息,例如金融账户。令人担忧的是,由于不清楚谁拥有这些暴露的数据集,用户能采取的防护措施影响甚微。 然而,基本的网络安全防护至关重要。强大且频繁更换的密码可能是账户安全与信息被盗之间的分水岭。用户还应检查其系统是否存在信息窃取程序,以避免数据落入攻击者之手。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文