理性看待160亿凭据泄露事件
零零信安
一、事件背景
2025年5月19日,著名网络安全媒体cybernews发布一篇名为“The 16-billion-record data breach that no one’s ever heard of(鲜为人知的160亿条记录数据泄露事件)”的文章。
文章中提到“我们的团队自今年年初以来一直在密切监控网络动态。迄今为止,他们已发现30个暴露的数据集,每个数据集包含数千万到超过35亿条记录。研究人员总共发现了令人难以置信的160亿条记录。”
但此篇文章中并无任何指向此份数据的链接或凭证,并声称“所有数据集都只是短暂地暴露:足够研究人员发现它们,但不足以发现谁在控制着海量数据。并表示该文件的存储格式通常与信息窃取恶意软件有关,但他们没有分享样本。信息窃取程序是一种恶意软件,它会试图从受感染的设备窃取凭证、加密货币钱包和其他数据。多年来,信息窃取程序已成为一个严重的问题,导致全球范围内出现数据泄露事件。这些类型的恶意软件会影响 Windows 和 Mac,并且在执行时会收集它在设备上找到的所有凭据并将其保存在所谓的“日志”中。大多数数据集都可以通过不安全的 Elasticsearch 或对象存储实例暂时访问。”
且文章中指出泄露的信息中含多个大型公司如苹果、Facebook、谷歌,到GitHub、Telegram以及各种政府服务。
此次事件的截图如下:
原文链接:
需要明确指出的是,本次事件并非新的数据泄露,所提及的网站近期也未遭受攻击以泄露这些凭证。这些被盗凭证很可能已在网络上流传了许久,随后它们被网络安全公司、研究人员或威胁行为者收集,并重新打包整理,继而暴露在互联网上。
与此同时,上周cybernews曾发布了一篇名为“中国有史以来最大规模的数据泄露事件”文章,此文章同样是对于历史泄露数据的总量汇总,cybernews同样在文章中提到“尽管团队竭尽全力,Cybernews也只是瞥见了数据库,因为暴露的实例很快就被删除了。”与这次涉及160亿条数据泄露的情况类似,Cybernews的文章中既没有提供数据样例截图,也没有提供其他凭证,仅是其单方面说法。因此,我们认为这篇文章很可能是Cybernews为夸大标题,吸引阅读量而发布。
二、暗网中的凭证交易:无需惊讶的常态
在暗网的以及各类社交媒体中,个人登录凭据的买卖早已是司空见惯的常态,这根本无需感到惊讶。这片隐秘的网络空间,因其匿名性,成为了数据贩子和网络犯罪分子的温床。每天,数以千万计被盗的用户名和密码等登录信息在暗网上被打包出售。
这些数据来源多样,可能是大型数据泄露事件的残余,也可能是通过网络钓鱼、恶意软件感染等方式窃取而来的新鲜凭证。它们通常以“数据库”的形式出售,其中包含数数千万条凭据,价格则根据数据的质量、来源和账户类型而异。
例如,包含银行账户或加密货币交易所信息的凭据自然比普通社交媒体账户的凭据价值更高。对于网络安全研究人员和执法机构而言,暗网上的凭证交易是他们日常监控的重点之一。
通过追踪这些交易,他们可以更好地了解网络犯罪的趋势,识别潜在的威胁,并尝试追踪幕后黑手。然而,对于普通用户来说,更重要的是要意识到自己的登录凭据随时可能成为暗网商品的一部分。
0.zone平台每天可以监测到数十分至上百份登录凭证售卖数据,这些登录凭证以论坛会员权限或根据数量定价进行交易。下图为0.zone平台已监测到的438,274 份售卖登录凭证数据截图:
下图为0.zone平台已监测到的438,274 份售卖登录凭证数据截图:
以上仅为各类暗网论坛中所涉及的售卖登录凭证数据,如果加上telegram、discord等社交平台,推测登录凭证数据的总量大约在2000亿条以上。但其中约90%到95%为重复数据,除重复后登录凭证数据的总量约在100亿条道200亿条左右。
三、如何保护你的数字身份?
鉴于暗网上登录凭证交易的普遍性,个人采取积极措施保护自身信息至关重要。以下是一些实用的防范方法:
* 启用多因素认证 (MFA)
为所有重要账户开启MFA多因素认证(也称双重验证或两步验证)在输入密码后,还会要求你通过第二种方式验证身份,例如手机验证码、指纹识别或专用认证应用。即使密码泄露,没有第二重验证,攻击者也无法登录你的账户。
* 订阅凭据泄露情报
使用数据泄露查询服务:许多网站(如darkweb.vc)允许你输入邮箱地址、用户名或密码登信息,查询个人或公司的凭证是否曾出现在已知的数据泄露事件中。如果发现信息被泄露,应立即更改相关账户的密码。
下图为darkweb.vc的官网截图:
通过查询个人邮箱或邮箱域可以发现登录凭证泄露情况:
零零信安提供专业的凭证数据泄露监测服务,助您及时发现并应对暗网中的凭证泄露风险。
四、总结
关于大规模数据泄露的讨论甚嚣尘上,其中多数源于Cybernews发布的文章。我们注意到,Cybernews此前也曾发布过类似的凭证集合报告,例如“RockYou2024泄露事件”,声称包含超过90亿条记录,以及“集合 #1”,声称包含超过2200万个唯一密码。尽管这些报告引起了广泛关注,但迄今为止,没有任何确凿证据表明这些数据汇编,包括此次事件所涉及的数据,包含全新的或此前未曾曝光的信息。
因此,我们建议公众对此类信息保持冷静,不必过度恐慌或在压力下匆忙更改所有密码。此次事件与其说是一次新的数据泄露,不如说是一个提醒,促使我们审视并改进个人的网络安全习惯。我们强烈建议您利用此次机会,主动提升您的数字防护能力。
若想核实您的凭证是否已出现在已知的泄露事件中,您可以考虑使用“darkweb.vc”或“Have I Been Pwned”等服务进行查询。
更重要的是,如果您目前在多个网站上重复使用相同的密码,我们郑重建议您立即采取行动,为每个账户设置独立且唯一的强密码。这将显著降低因单一凭证泄露而导致多个账户被攻破的风险。
零零信安为政府和各类企事业单位提供最专业的深网监测、数据泄露监测产品和服务,合作咨询请扫描以下二维码,联系客服:
