全球160亿条云存储登录凭证泄露，数据新鲜度引发安全担忧

网络安全研究团队Cybernews近日披露，他们在网上发现了160亿条登录凭证。尽管部分媒体和评论员称这是史上最大规模的数据泄露事件之一，但实际上这些数据并非来自单一安全事件。

数据来源解析

研究人员发现，这些暴露的用户数据分散在多个未受保护的Elasticsearch实例和云存储库中，这些存储库均处于公开可访问状态。这些数据并非来自Google、Facebook或Apple等大型平台的高调黑客攻击，而是源自感染了信息窃取恶意软件（infostealer malware）的受感染设备。

该数据集实际上是约30个不同数据集的汇总，主要由信息窃取恶意软件收集的凭证组成，并通过不安全的云存储暴露。每个数据集大小不一，最大的包含超过30亿条记录。总计160亿条凭证中可能存在大量重复条目和重复使用的密码，因此受影响的独立用户数量会相对较少，但仍相当可观。

数据新鲜度引发安全担忧

与其他大规模数据泄露相比，此次事件的特别之处不在于规模，而在于数据的新鲜度。许多凭证是近期收集的，这意味着它们在凭证填充（credential-stuffing）或钓鱼攻击中仍然有效的可能性更高。

研究人员强调，不应将此发现与传统的数据泄露事件混淆——传统事件中攻击者会入侵集中式数据库或企业网络。目前没有证据表明日志中提到的任何主要平台遭到直接入侵。这些凭证似乎来自通过钓鱼邮件、恶意下载或破解软件感染恶意软件的用户，其数据随后被转储到安全性较低的存储桶中。

与历史重大泄露事件的对比

虽然160亿条记录令人担忧，但与2024年初披露的所谓"史上最大泄露事件"（包含260多亿条记录）仍有区别。后者汇集了十多年来数千起已知泄露事件的数据，包括LinkedIn、Twitter、Dropbox和Adobe等平台的信息，且所有数据都集中在一个数据集中。而本次发现的30个不同数据集虽然规模较小，但数据更新且结构化程度高，具有独特的危险性。

数据泄露的持续威胁

研究人员指出，这些数据组织有序、经过索引，可直接用于网络攻击。尽管在Cybernews报告后不久相关数据库就被删除，但其暴露时间已足够他人下载和重新分发数据。实际上，凭证转储在首次曝光后很少会真正消失，它们通常会被重新上传到暗网论坛、Telegram频道或黑客市场。

软件即服务安全平台提供商AppOmni联合创始人兼首席技术官Brian Soby通过电子邮件向SiliconANGLE表示，这些数据"为网络犯罪分子提供了大规模账户接管的路线图，可以轻松绕过传统安全措施"，"每次登录SaaS平台和访问云服务都可能成为攻击者的潜在入口点"。

电台讨论