近期,一个包含近20亿唯一邮箱地址和13亿密码的数据集被公开,这是有史以来处理过的最大规模凭证泄露。这些数据主要来源于恶意软件窃取和“凭证填充”攻击,再次凸显了用户在不同网站间重复使用密码的巨大风险。经过验证,许多泄露的密码仍在被用户积极使用。为了应对这一威胁,强烈建议用户采用密码管理器、设置独一-无二的强密码,并启用多因素认证来保护自己的账户安全。
这次泄露的规模有多大?
这次泄露的数据量是前所未有的,具体包含:
- 1,957,476,021 个唯一的邮箱地址
- 13 亿个唯一的密码,其中 6.25 亿个是之前从未见过的。
这些数据主要来自两个渠道:
- 恶意软件窃取 (Stealer log data): 恶意软件在受感染的电脑上直接窃取用户保存的登录信息。
- 凭证填充列表 (Credential stuffing lists): 攻击者将从其他数据泄露事件中获取的邮箱和密码组合起来,尝试用于登录其他网站。
由于人们普遍存在密码重复使用的习惯,从一个安全性较差的网站(如论坛)泄露的密码,往往可以被用来登录受害者的购物、社交媒体甚至电子邮件账户。因此,这类凭证填充数据被称为“打开城堡大门的钥匙”。
数据是如何被验证的?
为了确认数据的真实性,Have I Been Pwned (HIBP) 联系了多位受影响的用户进行验证。结果表明,许多泄露的密码确实是用户曾经或正在使用的。
- 一位用户确认,泄露的两个密码中,一个是旧密码,另一个是近期仍在使用的密码。他收到提醒后,立即更改了所有关键账户的密码。
- 另一位用户表示,泄露的密码是他在大约10到20年前用于非重要账户的密码。
- 还有一位用户确认,泄露的密码仍在一些活跃账户上使用,并立即着手更改或关闭这些账户。
“是的,这个密码我很熟悉…不幸的是,它仍在我的一些活跃账户上使用,我已经列了一个清单,准备立即更改或关闭它们。”
这些案例有力地证明了此次数据泄露的真实性和现实危害:大量仍在使用的真实密码正在网络犯罪分子之间流传。
这不是Gmail的漏洞
需要特别澄清的是,这次事件不是Gmail的漏洞或数据泄露。
在泄露的近20亿邮箱中,虽然有3.94亿个是Gmail地址,但这仅仅因为Gmail是全球最大的电子邮件服务提供商。实际上,数据集中包含了超过 3200万个不同的邮箱域名。将此次泄露归咎于Gmail是完全错误的,这些数据来源于用户设备被恶意软件感染,与谷歌的系统安全无关。
你应该怎么做?
面对如此大规模的凭证泄露,保护个人账户安全至关重要。
- 使用密码管理器: 这是最有效的解决方案。密码管理器可以为每个网站生成并存储一个强大且唯一的密码,你只需要记住一个主密码即可。
- 启用多因素认证 (MFA): 即使密码被泄露,MFA也能提供一层额外的安全保护,阻止未经授权的登录。
- 检查你的密码是否泄露: 你可以在 HIBP 的 Pwned Passwords 页面上匿名查询你的密码是否曾经出现在泄露事件中。如果密码被泄露,无论它是否与你的邮箱关联,都应立即停用。
一个坏密码,无论是在谁的账户下泄露的,它都依然是一个坏密码。如果你的密码出现在泄露数据库中,就绝对不要再使用它。