圈小蛙
数份登录凭证的泄露揭露了史上最大规模的数据泄露事件之一,总计泄露了高达160亿个登录凭证。这些数据很可能来自各种信息窃取者。
这项研究基于Cybernews的独特发现,最初于6月18日发布在网站上,并根据公众讨论不断更新,添加澄清和补充信息。文章的最新版本收录了Cybernews研究员Aras Nazarovas和Bob Diachenko的评论,他们揭露了此次数据泄露事件。Cybernews解释了黑客如何使用和利用被盗密码。Cybernews还添加了一些屏幕截图作为泄露的证据。
不必要地收集敏感信息,其危害可能与主动窃取信息一样严重。例如,Cybernews研究团队发现了大量超大规模数据库,其中包含数十亿条登录凭证。从社交媒体和企业平台,到VPN和开发者门户,什么都有。
Cybernews的团队自今年年初以来一直在密切监控网络动态。迄今为止,他们已发现30个暴露的数据集,每个数据集包含数千万到超过35亿条记录。研究人员总共发现了令人难以置信的160亿条记录。
除了一份之外,此前所有被曝光的数据集均未见报道:5月底,WIred杂志报道了一位安全研究人员发现了一个包含1.84亿条记录的“神秘数据库”。这勉强排进了该团队发现的前20名。最令人担忧的是,研究人员声称每隔几周就会出现新的海量数据集,这表明信息窃取恶意软件的猖獗程度。
据 Cybernews 的 Vilius Petkauskas 称,研究人员自年初以来一直在调查此次泄漏事件,“已发现 30 个暴露的数据集,每个数据集包含数量从数千万到超过 35 亿条记录不等。”
Petkauskas 确认,总体上,被泄露的记录数量现在已经达到了 160 亿被认为是历史上最大的密码泄漏事件。
Dispersive公司副总裁 Lawrence Pingree 说:“情报机构和威胁行为者都在暗网中使用这些列表并加以积累,有时会被多次重新打包,有时则是单独出售的。” 正如 Pingree 告诉我的那样,如果不检查整个数据集、去除重复数据以及将其与单独的泄漏数据集进行比较的话,很难判断这是否是重新打包的泄漏。
研究人员表示:“这不仅仅是一次泄密,更是一份大规模利用的蓝图。超过160亿条登录记录被曝光,网络犯罪分子如今拥有前所未有的个人凭证访问权限,可用于账户接管、身份盗窃和高度精准的网络钓鱼。尤其令人担忧的是这些数据集的结构和新近性——这些并非只是旧漏洞被重新利用。这是全新的、可大规模武器化的情报。”
唯一的一线希望是,所有数据集都只是短暂地暴露:足够研究人员发现它们,但不足以发现谁在控制着海量数据。大多数数据集都可以通过不安全的Elasticsearch或对象存储实例暂时访问。
此次泄露事件泄露了哪些数据?
研究人员表示,大多数泄露的数据来自信息窃取恶意软件、凭证填充集和回收的旧泄露数据。
目前没有可靠的方法可以交叉核对所有数据集,所以肯定存在一些重叠。归根结底,Cybernews无法确切知道有多少独立账户被曝光,但很可能很多相同的数据出现了不止一次。
然而,该团队收集到的信息显示,大多数信息都遵循一个清晰的结构:URL,然后是登录信息和密码。大多数现代信息窃取程序(窃取敏感信息的恶意软件)正是以这种方式收集数据。
泄露的数据几乎涵盖了所有你能想到的在线服务的登录信息。这些服务涵盖了苹果、Facebook、谷歌、GitHub、Telegram,甚至政府平台。泄露的数据高达160亿条,可以说几乎没有遗漏任何信息。
据研究人员称,这种规模的泄密可能会引发各种安全问题,从网络钓鱼诈骗和账户接管到勒索软件攻击和商业电子邮件泄露(BEC)。
该团队表示:“包含旧的和最新的信息窃取日志(通常带有令牌、cookie和元数据)使得这些数据对于缺乏多因素身份验证或凭证卫生实践的组织来说特别危险。”
哪些数据集暴露了数十亿份凭证?
该团队发现的数据集规模参差不齐。最小的一个数据集以一款恶意软件命名,包含超过1600万条记录。而最大的数据集可能针对的是葡萄牙语用户,包含超过35亿条记录。平均而言,每批泄露的凭证都包含约5.5亿条记录。
一些数据集的命名过于笼统,例如“登录名”、“凭证”等类似术语,导致团队无法更好地理解其中的内容。然而,其他数据集则暗示了它们与哪些服务相关。
例如,一个包含超过4.55亿条记录的数据集,其命名表明其来源地是俄罗斯联邦。另一个包含超过6000万条记录的数据集,则以云端即时通讯平台Telegram命名。
“包含旧的和最新的信息窃取日志(通常带有令牌、cookie和元数据)使得这些数据对于缺乏多因素身份验证或凭证卫生实践的组织来说特别危险,”
该团队表示。
仅凭名称很难确切判断这些数据的来源,但其中一些似乎涉及云服务、业务相关信息,甚至之前被锁定的文件。一些数据集名称还暗示有人使用恶意软件收集数据。
没有人真正知道是谁把所有这些泄露的信息拼凑在一起的。可能是安全研究人员收集这些信息来监控数据泄露,但几乎可以肯定的是,其中一些信息来自网络犯罪分子。黑客喜欢拥有大量被盗数据,因为这能让他们更容易发起网络钓鱼攻击、窃取身份信息和入侵账户。
不到百分之一的成功率就能让数百万个人受骗,泄露更敏感的信息,例如财务账户信息。令人担忧的是,由于尚不清楚这些暴露的数据集的所有者,用户几乎无法采取任何措施来保护自己。
然而,基本的网络安全意识至关重要。使用密码管理器生成强大且独特的密码,并定期更新,可以有效防止账户信息被盗。用户还应检查系统中是否存在信息窃取者,避免数据被攻击者窃取。
Facebook、Google和Apple的密码没有泄露。或者说,它们被泄露了?
该数据集包含160亿个密码,相当于地球上每个人都有两个账户被泄露。
由于泄露的数据来自多个数据集,Cybernews并不清楚有多少重复记录。然而,其他媒体的一些报道可能存在误导性。有人声称Facebook、Google和Apple的凭证已被泄露。虽然Cybernews不能完全否认这些说法,但Cybernews认为这种说法有些不准确。
鲍勃·迪亚琴科(Bob Diachenko)是Cybernews撰稿人、网络安全研究员兼SecurityDiscovery.com所有者,也是这一重大发现的幕后推手。