作者:Davey Winder,资深撰稿人
Davey Winder 是一位资深网络安全作家、黑客与分析师
如果你认为我在5月23日发布的报告——确认有多达1.84亿条登录数据泄露——已经够吓人了,那现在最好找个地方坐下:研究人员刚刚证实了一次史无前例的数据泄露事件,涉及惊人的160亿条登录凭证,包括密码。研究人员认为,这起巨型密码泄露事件可能是由多个信息窃取工具(infostealers)造成的,是从年初就开始的一项调查的一部分。
这是否是历史上最大的一次密码泄露?
密码泄露可不是小事:它往往导致账户被入侵,进而引发你在数字世界里珍视的一切的潜在风险。也正因如此,Google 正在敦促数十亿用户用更安全的“通行密钥”取代密码,FBI 警告大家不要点击短信中的链接,而在暗网,每花费一点小钱你就可以买到被盗的密码。正因如此,这次泄露事件令人如此担忧。
据《Cybernews》的 Vilius Petkauskas 介绍,研究人员发现了30个数据集,每个包含数千万到超过35亿条记录,总计泄露数据达到160亿条。简而言之,这是有史以来规模最大的一次密码泄露事件。
Dispersive 的副总裁 Lawrence Pingree 指出,“情报机构和威胁行为者都会在暗网上积累这些数据”,它们有时被多次打包转售,有时也被单独贩卖。虽然还需进一步分析去重,才能确定是否为“回锅数据”,但《Cybernews》的研究人员坚信这批数据是全新的。Pingree 补充说:“160亿条记录是一个庞大的数字,这些数据可以被滥用,而且经常被滥用——这也正是它们的价值所在。”
涉及范围广泛:从社交媒体到政府服务
这批超大数据集中包含了来自社交媒体、VPN、开发者门户以及主要厂商用户账户的数十亿登录凭证。研究人员表示,这些数据大多以前未曾泄露——唯一的例外是文首提到的那1.84亿条记录。
研究人员指出,这不只是一次简单的数据泄露,更是一次**“可被大规模利用的蓝图”。这些凭证为网络钓鱼和账号接管攻击提供了“地基”。他们警告:“这不是过去老旧的泄露数据,这是新鲜的、可被武器化的情报,而且是规模化的。”
绝大多数信息是以网址 + 登录名 + 密码的格式呈现。研究人员称,这些信息涵盖了你能想象到的各种在线服务,包括 Apple、Facebook、Google、GitHub、Telegram,甚至各种政府服务。
管理密码比以往任何时候都更重要
并非所有密码数据库都是通过恶意软件盗取的。有些是因配置错误而意外公开。Keeper Security 的联合创始人兼CEO Darren Guccione 指出,这次事件再次说明了敏感数据极易在网上被意外暴露的现实。这也可能只是潜藏的巨大安全灾难的冰山一角。现在云服务中到底藏着多少未受保护的密码凭证,没人能说清。
Guccione 强调,由于这些凭证涵盖了使用极广的服务,因此后果十分严重。他建议消费者投资密码管理工具和暗网监测工具,及时发现密码是否遭泄露,从而采取措施更新账户。
而组织机构也同样必须重视此事,尽快采用“零信任”安全模型,对访问进行严格的身份验证和审计。
一旦数据库被攻破,再复杂的密码也无济于事
Desired Effect 的CEO、前NSA网络安全专家 Evan Dornbush 指出,“无论你的密码多复杂多长,只要存储密码的数据库被攻破,攻击者就能拿到。” 他强调密码管理的重要性,尤其是避免多平台使用相同密码。
Approov 的副总裁 George McGregor 认为,这样的大规模泄露是网络攻击的“第一张多米诺骨牌”,后续可能带来灾难性的连锁反应。他指出:“这次事件突显了我们早就知道的一点:用户身份信息早就广泛暴露在黑客面前。”
网络安全是共同责任,但分歧仍在
KnowBe4 的首席安全意识倡导者 Javvad Malik 表示,网络安全不只是技术问题,更是一种共同责任。他建议用户使用强且唯一的密码,并启用多重身份验证。
不过,MetaCert 的CEO Paul Walsh 对此观点并不买账。他在X平台上表示:“‘网络安全是共同责任’是胡说八道。” Walsh 认为,安全厂商尚未解决钓鱼攻击的问题,却将责任推给用户,“指望用户识别安全威胁本身就是不现实的”。他主张采用“零信任URL认证”来解决根本问题。
立即切换到通行密钥(Passkey)技术——不要等到为时已晚
你或许不会因为这次泄露而立即更改所有密码,但如果你在多个服务中复用了密码,现在绝对是该更换的时候了。同时,我也强烈建议你开始使用密码管理器,并尽可能切换到“通行密钥”技术。
Dashlane 的安全专家、FIDO 联盟联席主席 Rew Islam 表示,Dashlane 是首批支持通行密钥的管理器之一。他说,看到越来越多的科技公司加入其中令人振奋。Facebook 最近也宣布支持通行密钥,时机非常关键。
Islam 强调:“通行密钥并非锦上添花,而是保护用户安全的必需品。”
你可以查看以下指南,了解如何将密码切换为通行密钥:
- Facebook用户切换指南(https://www.facebook.com/)
- Apple用户切换指南(https://support.apple.com/)
- Google用户切换指南(https://myaccount.google.com/)
Islam 表示:“虽然用户在适应上可能会有些抵触,但好消息是,大多数人已经准备好摆脱密码,转向人脸或指纹识别等更自然的认证方式。” 关键在于银行、社交媒体、小型企业等广泛采用通行密钥,这样才能建立起用户的信心。他预测:“未来三年,通行密钥将成为全球互联网用户的主流选择。”