Gmail・Facebook级的大量泄露？1.49亿件“认证信息的山”显示，下一个被盯上的人的共同点

1. “1.49亿件”意味着什么——“大规模泄露”的真正可怕之处

这次的问题在于，约1亿4940万件数量惊人的“登录信息（ID、电子邮件地址、密码组合）”被以任何人都能访问的状态保存。而且，这并不是“某一家公司被黑客攻击”这样简单的事情。多个服务的认证信息被集中在一个地方，并以易于搜索的形式排列——这种结构才是真正提高危险度的原因。

因为对于攻击者来说，比起“单次泄露”，“可以尝试大量重复使用的密码”的名册更有价值。电子邮件、社交网络、视频流、加密资产、金融、行政……人们日常使用的服务越多，“在其他网站上使用相同密码的概率”就越高。泄露的名册会迅速将这种“概率”变为现实。

2. 暴露了什么——不仅仅是电子邮件和社交网络

根据报道和研究人员的披露，暴露的不仅仅是简单的ID和密码列表，还包括可以识别登录信息属于哪个网站的信息（如登录网址等）的记录。这对于攻击者来说几乎是“立即可执行的步骤说明”。
此外，即使在样本确认的范围内，也显示出不仅主要电子邮件和社交网络，还有视频流、游戏、交友、加密资产、银行和卡相关、政府域名等各种账户可能混杂在一起。

这里重要的是，“我只使用知名服务所以没问题”这种想法被打破。攻击者首先会劫持电子邮件，夺取密码重置，然后连锁侵入其他服务。**“入口可以是任何地方”**是认证信息泄露的可怕之处。

3. “信息窃取者”疑云——目标不再是服务而是“设备”

根据研究人员的意见，信息窃取者（信息窃取型恶意软件）或键盘记录器的来源受到怀疑。这是一种感染用户PC或智能手机，窃取浏览器保存的信息或输入内容（ID、密码、信用卡信息等）并发送到外部的恶意软件。

也就是说，不仅仅是“某个公司被突破”，我们的设备也可能成为跳板。可疑的附件文件、盗版软件、假更新、恶意广告、篡改网站……入口无处不在。

更麻烦的是，被盗的信息在**“进入某个黑市之前”**，首先需要一个集中的存储库。这次发现的正是由于设置不当而公开的“存储库”的情况。即使是犯罪者也会因操作失误而泄露——讽刺的是，受害的总是用户。

4. 接下来会发生什么——非法登录如“波浪”般袭来

当这样的名册流传时，首先增加的是**凭证填充攻击（ID和密码的穷举重复使用攻击）**。攻击者使用自动化工具，将泄露的组合逐一尝试到其他服务。

如果成功，则进入下一阶段。

• 劫持电子邮件 → 通过密码重置横向扩展

• 劫持社交网络 → 冒充朋友发送诈骗私信、投资邀请

• 支付和积分 → 非法购买、兑现、订阅劫持

• 加密资产 → 交易所登录、钱包泄露、转账损失

• 业务账户 → 向交易伙伴发送虚假发票、内部入侵的跳板

而且最重要的是，尽管现代已经完善了身份验证和双重认证，**“钓鱼攻击变得更加巧妙”**。泄露的数据也成为使钓鱼邮件“看起来真实”的材料。如果知道您使用的服务名称，邮件的说服力将大大提高。

5. 社交网络的反应——从“又来了”到“立即审视”

此次事件在社交网络上也成为话题，尤其突出的是以下三种情感。

（1）疲惫感：“泄露每天都在发生”
在Reddit上，有人表示“感觉每天都有新的泄露发生”，可以看到“带有放弃意味的反应”。频繁发生的大规模事故让用户感到麻木。

（2）实际需求：“想确认自己是否被包含”
同样在Reddit上，有人表示“如果数据进入确认服务就能检查”，关注点从“恐惧”转向“确认和处理”。
这种反应是合理的。毕竟，防止损害的最大捷径是检查自己的认证信息是否被重复使用，并按重要账户的顺序进行“强化”。

（3）原因推测：“是键盘记录器的存储库吗？”
也有人指出“这像是键盘记录器/信息窃取者的存储区域”，许多人不是以“服务方事故”为前提，而是以“感染模式”为前提进行讨论。这让人感受到攻击的主战场正从企业边界扩展到个人设备的现实。

6. 现在应该采取的对策——“全部更换”不如“顺序”重要

最后，实务上“今天要做的事情”按优先顺序整理。

优先级A：优先保护电子邮件（尤其是主邮箱）

• 将密码更改为长且独特

• 启用双重认证（如果可能，使用认证应用或安全密钥）

• 更新联系人电子邮件、电话号码、恢复代码

优先级A：金融、支付、加密资产要加强“登录防护”

• 双重认证必不可少，重新审视设备的生物识别和PIN

• 开启可疑登录通知和转账通知

• 如果使用相同的密码，立即更改

优先级B：社交网络“被劫持后的传播”很痛苦

• 双重认证

• 清点关联应用（外部服务关联）

• DM的安全设置，检查登录历史

优先级B：设备端检查（信息窃取者对策）

• 更新操作系统/浏览器到最新

• 删除可疑的扩展功能

• 安全扫描，重新审视密码保存

• 避免可疑文件、盗版、假更新

最有效的基础是引入密码管理工具和根除重复使用。仅此一项就可以大大减少名册攻击的“命中”。此外，在可能的服务中也希望考虑密码钥等减少对密码依赖的选项。

出处

• https://www.ibtimes.com.au/massive-credential-breach-puts-149-million-online-accounts-risk-1861210

• 研究人员Jeremiah Fowler的报告发布（泄露数量、数据未加密和未保护的点、包含的服务范围说明等）
  https://www.expressvpn.com/blog/149m-infostealer-data-exposed/

• 按主要服务估计的数量表，信息窃取者/键盘记录来源的可能性，通知约需一个月的整理
  https://www.techrepublic.com/article/news-149-million-passwords-exposed-infostealer-database/
  https://www.techradar.com/pro/security/huge-data-leak-of-149-million-credentials-exposed-without-any-protection-98gb-of-unique-usernames-and-passwords-from-financial-services-social-media-accounts-and-dating-apps

• 社交网络反应的参考（“每天发生”“想确认”等用户评论例）
  https://www.reddit.com/r/pwnhub/comments/1qktxwg/149_million_usernames_and_passwords_exposed_in/