近日安全研究人员Bob Dyachenko和Cybernews团队发现了一个名为“泄漏之母”(”Mother of all Breaches,简称MOAB)的超级巨型数据泄露库,该库整合并重新索引了过去几年的泄漏数据,文件体积高达12TB,共260亿条记录,是迄今为止发现的最大规模的数据泄露事件。
这并非一般意义上的数据泄露事件,MOAB更像是一座由无数次泄露事件堆砌而成的信息宝库。研究人员推测,其背后极有可能隐藏着一个恶意行为者、数据供应商,或是某个处理大量数据的服务机构。
“泄露的数据集极其危险,攻击者可以利用其中聚合的信息发动各种攻击,包括身份盗窃、精密钓鱼式攻击、定向网络攻击以及未经授权访问个人和敏感账户。”研究人员如此严肃地警告道。
值得注意的是,MOAB并不属于单纯的新泄露数据,它更像是众多旧泄露事件的“大合集”。研究人员识别的超过260亿条记录中,存在大量重复数据。但与此同时,泄露的信息远不止常见的用户名和密码,还包含了大量对黑客极具价值的敏感信息。
腾讯、微博占据榜首,网易、京东、优酷上榜
研究人员快速浏览泄漏数据库发现有数量惊人的来自先前数据泄露事件的记录。其中,来自中国即时通讯应用腾讯QQ的记录最多,达14亿条。此外,据称还有來自微博(5.04亿)、MySpace(3.6亿)、Twitter(2.81亿)、网易(2.61亿)Deezer(2.58亿)、LinkedIn(2.51亿)、AdultFriendFinder(2.2亿)、Adobe(1.53亿)、Canva(1.43亿)、京东(1.42亿)、VK(1.01亿)、优酷(1亿)、DailyMotion(8600万)、Dropbox(6900万)、Telegram(4100万)等众多公司和组织的记录,就连美国、巴西、德国、菲律宾、土耳其等国家的政府机构记录也未能幸免。
研究团队认为,MOAB的影响范围可能史无前例。由于许多人会重复使用用户名和密码,恶意行为者可以利用泄露信息发起大规模的凭证填充攻击。”如果用户在Netflix账户和Gmail账户上使用了相同的密码,攻击者就可以利用此漏洞登录其他更敏感的账户。除此之外,被泄露数据的用户还可能成为鱼叉式网络钓鱼攻击的受害者,或收到大量垃圾邮件。”研究人员这样解释道。
MOAB的规模前所未有,Cybernews在2021年报道的另一个巨型数据泄露事件中仅包含了32亿条记录,只相当于2024年MOAB的12%。
总而言之,MOAB的出现再一次敲响了网络安全警钟。我们每个人都应该提高安全意识,定期更换密码,使用不同密码保护不同的账户,并时刻警惕网络安全威胁。
