世界范围的数据泄露导致160亿个密码面临风险!历史性的数据泄露是否宣告了“密码时代的终结”?

世界范围的数据泄露导致160亿个密码面临风险!历史性的数据泄露是否宣告了“密码时代的终结”?

2025年06月21日 03:42

1. 史上最大の“凭证海啸”——发生了什么

6月20日凌晨,印度 NDTV Profit 发布了一篇题为“Massive Data Breach: 16 Billion Passwords Leaked”的文章。文章中报道“前所未有的160亿条凭证在暗网论坛上被确认”,一时间成为全球头条新闻。ndtvprofit.com

根据该文章,泄露的30个数据集每个包含数千万到35亿行数据,包括Apple ID、Google账户、Facebook登录信息,以及开发者使用的GitHub和政府服务的会话令牌。


2. “所有泄漏之母”的重现?

这个数字与2024年1月引起轰动的“MoAB(所有泄漏之母:总计260亿条)”相比,影响更大。然而,MoAB是**过去10年已知泄漏的“墓地”**,而此次的数据集则是“从最新的信息窃取者感染终端中提取的‘活’的cookie和令牌”,研究人员指出了这一不同之处。news.com.au


3. 从哪里泄露的?——信息窃取者经济圈的阴暗面

Forbes解释道,“并不是受害企业本身被黑,而是个人电脑或手机感染了恶意软件,提取了保存在浏览器中的凭证”。forbes.com

实际上,Raccoon、Vidar、Lumma等每月只需几十美元的MaaS(恶意软件即服务)成为犯罪的温床。以加密ZIP出售的“日志”中不仅包含密码,还包括用于自动登录的会话令牌以及用于自动填充的地址和信用卡信息,犯罪者无需2FA绕过或钓鱼即可立即接管账户。


4. 专家的看法与冷静的声音

英国安全研究员Troy Hunt(Have I Been Pwned管理员)在X上表示,“‘16 Billion’这个标题很吸引人,但新泄露的仅占总数的四分之一。不必仅凭数字而陷入恐慌。”twitter.com
Reddit的r/cybersecurity上,“只是旧数据的重新包装”“媒体赚取点击的惯用手段”等怀疑的帖子迅速增加。reddit.com

另一方面,Tom’s Guide的实时更新中警告称,“尽管新旧数据混杂,但2025年第二季度以后的新企业VPN凭证超过2500万条”。tomsguide.com


5. SNS 映射的“两个温度差”

  • 惊恐派:「160亿件!?必须马上更改所有密码💀」——普通用户的帖子在X上成为趋势。twitter.com

  • 冷淡派:「又是‘最大级’吗?只是MoAB的翻版吧」——在Reddit /r/pcmasterrace上,这条带有讽刺意味的评论获得了3000多个赞。reddit.com

  • 实务派:Tether公司CEO Paolo Ardoino表示「密码的概念已经到极限。我们正在转向结合生物识别和加密密钥的‘PearPass’」,引起了Web3行业的关注。twitter.com

这些反应显示了终端用户在将危机视为“自己的事”与因信息过多而对警告习以为常的两极化现象。


6. 可能的受害情景——可能发生什么

  1. 大规模凭证填充
    使用自动化工具同时登录Netflix、Steam、Apple ID。即使成功率只有1%,也能突破1.6亿个账户。

  2. 利用政府邮件的APT入侵
    泄露名单中确认有.gov和.mil域名,成为定向攻击的跳板。the-sun.com

  3. 加密资产钱包的“空打”
    通过获取会话Cookie而不是种子,可以技术性地绕过双重认证进行即时转账。

  4. AI生成钓鱼的精度提高
    利用泄露的邮件作为学习数据,模仿本人风格的“Vishing AI”已进入验证阶段。


7. 企业的反应

  • Google 当天在官方博客中宣布,“将在2025年内将所有账户的密码钥匙使用设置为默认开启”。

  • Apple 被报道正在iOS 19 beta中测试“自动密码钥匙迁移助手”。

  • Meta 计划在企业版Business Suite中引入无需密码的“Meta Verified”登录。(※各公司的发布内容综合自NDTV、Forbes、Tom’s Guide的采访)
    ndtvprofit.com


8. 普通用户应采取的6个步骤

  1. 将所有主要服务的密码设为独特

  2. 采用密码管理器(如1Password / Bitwarden等)

  3. 将MFA从SMS切换到TOTP(如Google Authenticator等)

  4. 定期在HaveIBeenPwned上检查邮件泄露(免费)。reddit.com

  5. 删除不必要的账户并失效旧的OAuth令牌

  6. 通过“Cannot autologin”设置禁用关键网站的Cookie自动保存


9. 法规和无密码未来

在欧盟,NIS2指令计划于2025年10月实施,其中包含“如果以明文形式保存高度机密的认证信息,将被罚款最高达年营业额的7%”的条款。美国也在“国家网络安全战略”中提出联邦机构必须使用密码钥匙。这些法规可能会大力推动从密码到密码钥匙的过渡。


10. 结论

此次160亿条数据泄露,单从数字上看确实是“史上最大”级别。然而,实际上是**新旧数据的“拼凑”,威胁的核心在于“密码本身的局限”和“用户的自满”。技术解决方案正逐渐向密码钥匙集中,但最前线依然是“人类行为的改变”。我们每个人能否成为“另一个防火墙”**正在受到考验。


参考文章

前所未有的160亿个密码在大规模数据泄露中泄漏 — Apple、Facebook、Google的登录信息面临风险
来源: https://www.ndtvprofit.com/technology/unprecedented-16-billion-passwords-leaked-in-massive-breach-apple-facebook-google-logins-compromised

← 返回文章列表