未加密云服务器藏 1.84 亿登录凭证：包含邮箱密码、银行账户等敏感隐私信息

安全资讯  2025年05月28日 17:19:18

网络安全研究员Jeremiah Fowler发现一个配置错误的云服务器，其中包含1.84亿条登录凭证，这些数据很可能是通过信息窃取恶意软件（infostealer malware）收集的。
重大数据泄露事件
这个未设置密码或加密保护的数据库存储了多个在线服务的凭证，包括主流电子邮件服务商、微软等大型科技平台，以及Facebook、Instagram、Snapchat和Roblox等社交媒体网站。
更严重的是，泄露数据中还包含银行账户、健康平台甚至多国政府门户网站的访问信息，使不知情的用户面临高风险。Fowler通过联系数据库中出现的邮箱用户核实了部分记录的真实性，多位用户确认所列密码确实准确有效。
发现该问题后，Fowler立即通知了托管服务提供商，该数据库随后被撤下公开访问。数据库IP地址指向两个域名，其中一个似乎未注册。由于注册信息被隐私保护，这批数据的真实所有者仍无法确定。
目前尚不清楚这些敏感信息被暴露了多长时间，也不确定是否有其他恶意行为者在发现前就已访问。由于托管服务商未透露客户信息，无法判断数据收集的目的是犯罪活动还是存在疏漏的合法研究。
信息窃取恶意软件的关联
从现有证据看，该数据库很可能属于使用信息窃取软件收集数据的网络犯罪分子，他们在操作过程中意外暴露了自己的数据库。信息窃取软件在犯罪群体中应用广泛且效果显著——有报告显示，甚至美国军方和FBI的系统都曾被单价仅10美元的信息窃取软件攻破。
这类恶意软件专门用于秘密收集受感染计算机的敏感信息，主要针对存储在网页浏览器、电子邮件程序和即时通讯应用中的登录凭证。Hackread.com近期报道的微软与欧洲刑警组织联合打击Lumma Stealer基础设施的行动（该恶意软件已感染全球超39.4万台Windows电脑），恰好印证了Fowler此次发现所揭示的威胁类型。
Fowler分析指出，这些原始凭证和登录页面URL数据，与Lumma等窃取软件的设计目标完全吻合。虽然无法确定具体是哪种恶意软件导致了此次泄露，但数据特征强烈指向此类手段。
网络犯罪分子意外暴露自有服务器的情况并不罕见。数月前就有报道称，知名黑客组织ShinyHunters和Nemesis合作攻击暴露的AWS存储桶时，就在操作过程中意外泄露了自身数据。
防范信息窃取软件的建议
数百万条登录信息的泄露为网络犯罪分子实施”凭证填充攻击”和”账户接管”等攻击手段提供了便利。这些攻击可导致个人数据泄露，进而引发身份盗窃或金融欺诈。泄露数据中若包含企业凭证，还可能带来商业间谍活动甚至国家敏感网络的风险。掌握邮箱和旧密码会使钓鱼攻击和社会工程攻击更具欺骗性。
Fowler建议用户：不要将邮箱作为信息冷存储设备；定期更新密码（尤其是发生未知泄露事件时）；禁止在多个账户间重复使用相同密码；启用双因素认证（2FA）；开启登录通知或可疑活动警报功能。
参考来源： freebuf