想象一下,开始您的一天,只是发现您使用过的每个密码,从Instagram到银行帐户,现在都在Dark Web上漂浮。听起来像是一场技术噩梦,对吗?但是对于数百万人来说,这可能已经是一个令人震惊的现实。专家称其为互联网历史上最大的数据泄露。超过160亿的登录证书已泄漏。而且这不是过时的,可回收的信息。它是使用高级InfoStealer恶意软件的新鲜,有条理的和收获的。
这是怎么发生的?
这不是您典型的网络攻击。没有防火墙被砸碎,没有零日漏洞破裂。取而代之的是,这种违规行为是缓慢的燃烧,几年来。使用InfoStealer恶意软件悄悄收获了数据,这是一种隐秘的恶意软件,潜伏在受感染的设备上,默默地窃取了登录凭证而不会发出警报。
据路透社报道,虽然一部分泄漏的数据似乎源自较旧的,以前折衷的密码转储,但设置这种违规的原因是包含新的InfoStealer日志。根据网络新闻的说法,这就是使其特别危险的原因,特别是对于缺乏多因素身份验证或无法遵循良好证书卫生的组织。换句话说,如果您仍在重复使用密码或跳过额外的安全层,则可能会遇到严重的麻烦。
该数据集包括用户名,密码,身份验证令牌,会话cookie和元数据,将信息链接到各个用户和平台。
印度的网络安全监管机构发行咨询
在发现大规模数据泄漏后,印度的网络安全局,计算机应急团队(CERT-IN)发出了紧急咨询。该咨询公司标记为CTAD-2025-0024并于6月23日标记,警告用户了解从苹果,Google,Facebook,Telegram,Telegram,Github和多个VPN服务等主要平台收集的敏感信息的大规模暴露。
Cert-In标记了违规造成的几个关键威胁。其中包括凭证填充攻击,其中使用了偷偷摸摸的登录详细信息,以获得未经授权的访问;网络钓鱼和社会工程,在详细的元数据帮助下;接管个人和财务平台;以及更复杂的网络攻击,例如勒索软件和业务电子邮件妥协。
泄漏主要起源于两个来源 – 恶意软件窃取存储在浏览器和文件中的凭据以及由于错误配置而造成的公开曝光数据库。看门狗强调了由于受影响的大量帐户和所涉及的不同平台而引起的威胁的严重性。
如何拯救自己免于这种违规?
为了减轻风险,Cert-In建议所有用户立即更新密码,尤其是在银行,社交媒体和政府门户等高风险平台上。用户应使用字母,数字和符号组合创建强,独特的密码,并避免重复使用密码。该机构还建议启用多因素身份验证以增加安全性,保持对网络钓鱼尝试的警惕,并使用受信任的密码经理来存储和生成安全的凭据。
