文章总结: Cybernews研究团队披露一个未受保护的Elasticsearch数据库存储约240亿条凭据记录,内容包含用户名、邮箱、明文密码及登录网址,主要来源于信息窃取恶意软件日志及历史泄露数据。该数据库覆盖36个来源且持续更新,攻击者可利用其发起撞库攻击、账户接管等威胁。文章建议组织推广多因素认证、防范恶意软件并建立凭据泄露监测机制,强调身份安全已成为网络安全核心课题。 综合评分: 85 文章分类: 数据泄露,恶意软件,网络安全,安全意识,解决方案
240亿条账号密码泄露,网络攻击进入身份时代
祺印说信安
2026年6月30日 00:08 河南
在小说阅读器读本章
去阅读
以下文章来源于豫说网数安 ,作者何威风
豫说网数安 .
网络安全人人有责,贯彻网络安全为人民,网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。
近日,Cybernews研究团队披露了一起近年来最受关注的凭据泄露事件。研究人员在互联网中发现一个未受保护的Elasticsearch数据库,容量超过8.3TB,共存储约240亿条数据记录,内容包括用户名、电子邮箱、明文密码以及对应的登录网址(URL)。从规模来看,这很可能是目前公开发现的最大凭据数据库之一,其数据主要来源于信息窃取恶意软件(Infostealer)日志,同时混合了Telegram渠道收集的数据、历史数据泄露合集以及其他已被窃取的账号信息。
需要指出的是,这并非意味着发生了一次影响240亿个账户的全新数据泄露事件,而是攻击者或数据收集者将来自多个渠道、多个时期的大量凭据进行了汇聚和整理。研究人员认为,这些数据覆盖至少36个不同来源,并且数据库存在持续更新的迹象,说明其并不是简单的历史数据备份,而更像是一个长期维护、不断扩充的“凭据仓库”。由于大量数据来自Infostealer恶意软件感染终端后的直接窃取,因此其中相当一部分账号密码具有较高的新鲜度和可利用价值。
真正值得警惕的,并不是“240亿”这一惊人的数字,而是这些数据所代表的攻击能力发生了质的变化。传统的数据泄露往往针对某一家企业或某一个平台,而此次曝光的数据几乎覆盖了互联网各类在线服务,包括电子邮件、社交媒体、云服务、开发平台、办公系统以及部分政府和企业门户。对于攻击者而言,这意味着他们能够快速构建覆盖全球的大规模凭据攻击资源库,并借助自动化工具发起撞库攻击(Credential Stuffing)、账户接管(ATO)、商业邮件欺诈(BEC)、网络钓鱼以及勒索攻击,大幅提升攻击效率。
此次事件再次凸显了信息窃取恶意软件已成为当前网络犯罪生态的重要组成部分。与传统黑客攻击服务器不同,Infostealer通常直接感染个人电脑,通过窃取浏览器保存的密码、Cookie、认证令牌、数字钱包信息以及浏览记录等敏感数据获利。近年来,大量攻击组织利用恶意软件即服务(MaaS)模式不断扩大传播范围,使越来越多合法用户在毫无察觉的情况下成为凭据泄露的源头。这意味着,即使企业自身没有遭遇入侵,只要员工终端感染信息窃取木马,企业账号同样可能被泄露到地下黑市。
对于企业而言,这类事件带来的影响已经远远超过密码泄露本身。现代企业普遍采用云办公、SaaS应用和远程访问模式,一个被盗账号往往关联多个业务系统。如果企业仍依赖单因素密码认证,攻击者便可能利用泄露凭据直接登录VPN、邮箱、协同办公平台甚至云管理后台,进一步横向移动并实施数据窃取、供应链攻击或勒索软件攻击。因此,账号安全已经成为网络安全体系中最基础、也是最关键的防线之一。
从防护角度来看,此次事件再次证明,仅依靠复杂密码已难以满足当前安全需求。组织应全面推广多因素身份认证(MFA),尽量避免密码重复使用,部署密码管理工具,持续开展终端安全检测,重点防范信息窃取恶意软件。同时,应建立持续的凭据泄露监测机制,及时发现员工账号是否出现在公开泄露数据库或地下交易市场,并第一时间完成密码重置和风险处置。此外,零信任身份认证、异常登录监测、风险行为分析以及基于身份的访问控制,也应成为现代企业账号安全体系的重要组成部分。
总体来看,这次240亿条凭据数据库曝光事件再次表明,网络安全威胁正在从“漏洞驱动”逐步演变为“身份驱动”。未来,攻击者获取系统权限的方式未必依赖高危漏洞,而更可能依赖已经泄露的合法身份凭据。对于个人而言,每一个重复使用的密码都可能成为攻击链条中的突破口;对于企业而言,每一个被窃取的账号都可能成为数据泄露、业务中断甚至供应链攻击的起点。如何守护数字身份安全,已经成为数字时代网络安全建设中最重要的课题之一。
往期回顾
等保、关保、数保、个保,网络安全与数据治理“四位一体”的体系化制度框架
网络安全等级保护制度统一框架辨析
网络安全法律法规最新目录系列
网络安全等保系列
测评机构不应该背等级保护工作全部的锅
先弄清楚网络概念,再来谈网络安全等级保护吧!
测评机构能力要求新标准,取消了注册资本要求
网络安全等级保护:什么是等级保护制度?
网络运营者等级保护合规自查表
等级保护数据安全测评两张图重绘新鲜出炉
《网络安全法》等级保护法条第一款分解
《网络安全法》第二十三条第(一)项合规分解
《网络安全法》第二十三条第(二)技术措施分解
信息安全技术 网络安全等级保护基本要求
数据分级直接影响等级保护等级
等级保护第一步:定级,现实很多单位未全做
等级保护第二步:备案,是责任单位“向”向公安机关备案
等级保护第三步:建设整改,建设整改是核心
等级保护第四步:测评,现实很多单位在违规
“两保一密三工作”统归等级保护一制度
网络安全等级保护自查清单(对照法条)
《网络安全法》修改与等级保护之间的一点浅析
正确理解等级保护工作的重要性
由“两高一弱”典型案例浅谈等级保护建设的现实困境
网络安全与等级保护制度
等级保护建设参考系列
网络安全管理制度:网络安全总体安全策略
网络安全管理制度:网络安全工作总体方针
关基保护系列
李克强签署国务院令 公布《关键信息基础设施安全保护条例》
关键信息基础设施保护测评
关基测评与等保测评主要差异项对比
关基测评渗透测试基线
关基保护现行法律法规及相关材料目录一览表
数据安全系列
《数据安全法》第二十一条合规拆解
《数据安全法》第二十七条合规分解
《数据安全法》第二十九条合规分解
《数据安全法》第三十条合规分解
网络数据安全风险评估迎来里程碑进程
数据安全知识:什么是数据安全
结构化数据(Structured Data)与非结构化数据(Unstructured Data)
数据处理者合规自查清单
我国数据安全合规遵循性文件一览
在《医疗卫生机构数据安全和个人信息保护管理办法》下如何合规
数据安全等级测评
数据安全合规自查表(Checklist)基于风险评估
单位数据安全自查清单(依据《网络数据安全管理条例》)
医疗机构数据安全和个人信息保护自查简表(基于最新医疗机构管理办法)
网络数据委托方数据安全合规自查清单
数据安全合规自查表(Checklist)基于风险评估
数据安全技术 数据接口安全风险监测方法
数据安全技术 数据安全风险评估方法
信息安全技术 网络数据处理安全要求
数据安全技术 敏感个人信息处理安全要求
数据安全技术 个人信息保护合规审计要求
数据安全技术 数据分类分级规则
个人信息保护系列
个人信息保护政策法规问答(2026年4月)
我国个人信息保护合规遵循性文件一览
个人信息处理者合规工作自查清单
信息安全技术 个人信息安全规范
数据安全技术 个人信息保护合规审计要求
个人信息保护:个人信息去标识化指南思维导图
小型个人信息处理者个人信息保护合规审计自查表
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:祺印说信安 《240亿条账号密码泄露,网络攻击进入身份时代》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论