圈小蛙
12TB的个人身份信息(PII)和凭证被盗,其中包括260亿条记录,涉及数百万人,甚至数十亿人,这可能是历史上最大的数据泄露事件,被称为“所有数据泄露事件之母”(MOAB)。
该数据集由SecurityDiscovery.com和Cybernews的研究员Bob Diachenko(@MayhemDayOne)发现,包含来自世界各地社交媒体平台和在线服务的信息。最多的记录似乎来自中国社交媒体和游戏巨头腾讯,总计15亿数据,另外5.04亿来自腾讯的同胞——中国的社交应用微博,3.6亿来自社交媒体先驱MySpace,2.81亿来自X/Twitter。
其他受到严重影响的在线组织包括Adobe、Dropbox、LinkedIn、MyFitnessPal和Telegram,以及许多政府机构。然而,大多数受影响的组织规模较小且知名度较低。完整的可搜索索引可通过Cybernews获得。
具体而言:记录来自微博 (504M)、MySpace (360M)、Twitter (281M)、Deezer (258M)、Linkedin (251M)、AdultFriendFinder (220M)、Adobe (153M)、Canva (143M) 、VK (101M)、Daily Motion (86M)、Dropbox (69M)、Telegram (41M) 以及许多其他公司和组织。
研究人员表示,大部分数据似乎是由有心人根据各种较小的数据汇编而成的,可能是初始访问经纪人(IAB),然后他们会将其访问权出售给网络犯罪分子。
综合来看,这些汇总数据(其中包含大量重复信息)可被用于实施有针对性的身份盗窃、网络钓鱼计划、网络攻击和接管受害者的在线账户。
由于大量用户继续在多个在线服务中重复使用用户名和凭据,使所有服务都面临被入侵的风险,因此这次攻击的范围尤其危险。
Comforte AG网络安全专家Erfan Shadabi表示:“MOAB对消费者的潜在影响是前所未有的,研究人员强调了撞库攻击海啸的风险。”
Eset全球网络安全顾问Jake Moore补充道:“我们永远不应该低估网络犯罪分子利用如此有限的信息所能达到的目的。”
“受害者需要了解密码被盗的后果,并进行必要的安全更新作为应对。这包括更改密码、警惕泄密后的网络钓鱼电子邮件,以及确保所有帐户(无论是否受影响)都配备双因素身份验证。
“许多系统共享平台,并积极尝试最新的攻击。许多网络严重依赖更新,但一旦发现漏洞,就会争分夺秒地在数据泄露之前修补漏洞。另外,攻击者通常会以系统为目标,以隐身模式潜伏在雷达之下,监控活动并决定攻击的内容和时间。”
Shadabi在电子邮件评论中表示,对于所涉及的企业来说,此次泄露的规模也为投资能够保护敏感信息的解决方案提供了特别有力的论据,包括以数据为中心的安全方法。
“令牌化正在成为一个关键的解决方案,”他说。“通过用不同的令牌替换敏感数据,令牌化使得未经授权的各方无法使用数据,即使在发生泄露的情况下也是如此。这种预防性措施在加强数据保护的同时,也降低了意外访问造成危害的可能性。”
Traceable AI首席安全官理查德·伯德(Richard Bird)对数据被盗的组织进行了严厉的批评。
他说:“经过多年对数据的不当处理和客户的信任,在为这个庞大的数据集贡献了数亿条记录的几家公司名单中,没有一家公司应该对这一事态发展假装震惊,从而侮辱这些客户。”
“虽然这些公司一直声称‘但没有信用卡或银行信息被盗’,但坏人一直在建立一个庞大的私人数据列表,就连研究人员也称其为‘极其危险’。鉴于这些公司和其他公司的管理不善,他们认为这些数据会发生什么?
“所以,问题依然存在,这样的清单是否足够庞大,足以迫使公司和政府摆脱困境?”
对数据泄露习以为常
“我们大多数人都将部分私人信息发布在互联网上,任何人都可以获取。这是生活中一个令人悲伤的事实——我们的私人信息不再是私人的”
罗杰·格莱姆斯,KnowBe4
在网络安全行业的其他观察家中,随着MOAB消息的传播,人们的情绪也变得低沉。KnowBe4数据驱动型防御布道者罗杰·格莱姆斯(Roger Grimes)表示,世界上大多数人都正确地认为,他们的个人信息至少有一部分可以在互联网上找到,无论是通过网络钓鱼或社交工程窃取的,还是在数据泄露事件中泄露的。
“无论哪种方式,我们中的大多数人都在互联网上公开了自己的部分私人信息,任何人都可以获取这些信息。这是一个可悲的事实,我想知道,在一个私人信息不再私密的世界里成长,会对年轻人和整个社会产生怎样的影响。”格莱姆斯说。
“我认为,有一方只是接受了现在世界的运行方式。而极端的另一方则在积极努力,尽可能地从供应商和互联网上删除他们的所有信息,以实现’逃离网络‘。MOAB数据库只是支持这两个群体的另一个数据点。”他补充道。