網(wǎng)絡安全研究員Jeremiah Fowler發(fā)現(xiàn)一個配置錯誤的云服務器，其中包含1.84億條登錄憑證，這些數(shù)據(jù)很可能是通過信息竊取惡意軟件（infostealer malware）收集的。

重大數(shù)據(jù)泄露事件

這個未設置密碼或加密保護的數(shù)據(jù)庫存儲了多個在線服務的憑證，包括主流電子郵件服務商、微軟等大型科技平臺，以及Facebook、Instagram、Snapchat和Roblox等社交媒體網(wǎng)站。

更嚴重的是，泄露數(shù)據(jù)中還包含銀行賬戶、健康平臺甚至多國政府門戶網(wǎng)站的訪問信息，使不知情的用戶面臨高風險。Fowler通過聯(lián)系數(shù)據(jù)庫中出現(xiàn)的郵箱用戶核實了部分記錄的真實性，多位用戶確認所列密碼確實準確有效。

發(fā)現(xiàn)該問題后，F(xiàn)owler立即通知了托管服務提供商，該數(shù)據(jù)庫隨后被撤下公開訪問。數(shù)據(jù)庫IP地址指向兩個域名，其中一個似乎未注冊。由于注冊信息被隱私保護，這批數(shù)據(jù)的真實所有者仍無法確定。

目前尚不清楚這些敏感信息被暴露了多長時間，也不確定是否有其他惡意行為者在發(fā)現(xiàn)前就已訪問。由于托管服務商未透露客戶信息，無法判斷數(shù)據(jù)收集的目的是犯罪活動還是存在疏漏的合法研究。

數(shù)據(jù)庫中存儲的登錄憑證（來源：Website Planet）

數(shù)據(jù)庫中存儲的登錄憑證（來源：Website Planet）

數(shù)據(jù)庫中存儲的登錄憑證（來源：Website Planet）

信息竊取惡意軟件的關聯(lián)

從現(xiàn)有證據(jù)看，該數(shù)據(jù)庫很可能屬于使用信息竊取軟件收集數(shù)據(jù)的網(wǎng)絡犯罪分子，他們在操作過程中意外暴露了自己的數(shù)據(jù)庫。信息竊取軟件在犯罪群體中應用廣泛且效果顯著——有報告顯示，甚至美國軍方和FBI的系統(tǒng)都曾被單價僅10美元的信息竊取軟件攻破。

這類惡意軟件專門用于秘密收集受感染計算機的敏感信息，主要針對存儲在網(wǎng)頁瀏覽器、電子郵件程序和即時通訊應用中的登錄憑證。Hackread.com近期報道的微軟與歐洲刑警組織聯(lián)合打擊Lumma Stealer基礎設施的行動（該惡意軟件已感染全球超39.4萬臺Windows電腦），恰好印證了Fowler此次發(fā)現(xiàn)所揭示的威脅類型。

Fowler分析指出，這些原始憑證和登錄頁面URL數(shù)據(jù)，與Lumma等竊取軟件的設計目標完全吻合。雖然無法確定具體是哪種惡意軟件導致了此次泄露，但數(shù)據(jù)特征強烈指向此類手段。

網(wǎng)絡犯罪分子意外暴露自有服務器的情況并不罕見。數(shù)月前就有報道稱，知名黑客組織ShinyHunters和Nemesis合作攻擊暴露的AWS存儲桶時，就在操作過程中意外泄露了自身數(shù)據(jù)。

防范信息竊取軟件的建議

數(shù)百萬條登錄信息的泄露為網(wǎng)絡犯罪分子實施"憑證填充攻擊"和"賬戶接管"等攻擊手段提供了便利。這些攻擊可導致個人數(shù)據(jù)泄露，進而引發(fā)身份盜竊或金融欺詐。泄露數(shù)據(jù)中若包含企業(yè)憑證，還可能帶來商業(yè)間諜活動甚至國家敏感網(wǎng)絡的風險。掌握郵箱和舊密碼會使釣魚攻擊和社會工程攻擊更具欺騙性。

Fowler建議用戶：不要將郵箱作為信息冷存儲設備；定期更新密碼（尤其是發(fā)生未知泄露事件時）；禁止在多個賬戶間重復使用相同密碼；啟用雙因素認證（2FA）；開啟登錄通知或可疑活動警報功能。