超1.84亿个密码在大规模数据泄露事件中曝光 —— 涉及苹果、谷歌、微软等公司

这一信息窃取程序获取了电子邮件和银行账户的用户名和密码。

网络安全研究员杰里米·福勒刚刚发布了一份报告，他发现了一个庞大且未受保护的在线数据库，其中有数百万条敏感数据，这些数据存储在一个纯文本文件中，无需任何密码，也未经过加密处理。

据ZDNet报道，福勒发现的1.84亿个独特账户凭证包括用户名、密码、电子邮件以及谷歌、微软、苹果、脸书、照片墙和 Snapchat 等应用程序和网站的URL等。

或许更令人担忧的是数据库中包含的更为敏感的信息 —— 特别是银行和金融账户、健康平台以及政府门户网站的凭证。

福勒的分析表明，这些数据是被某种信息窃取程序获取的，这意味着信息泄露的个人及其相关账户将容易受到威胁行为者的一系列进一步诈骗和恶意行为的侵害，比如网络钓鱼攻击。

福勒表示，他不清楚这个数据库最初是合法创建还是恶意创建的，因为托管服务提供商不愿透露所有者的姓名，不过他们已经将该数据库从公共访问中移除。

福勒直接联系了文件中列出的人员，告知他们自己正在研究一起数据泄露事件，并确认数据库中包含的信息是正确有效的账户信息。

此外，他还指出，虽然数据库所有者应对此次事件负责，但那些将电子邮件账户当作免费云存储的用户，由于让税务表格、医疗记录、合同或密码等多年的敏感文件轻易可供能够访问其电子邮件账户的网络犯罪分子获取，从而使自己面临安全和隐私风险。

如何保障安全

遭遇此类安全漏洞的人会面临各种进一步的威胁，特别是如果他们重复使用相同的密码、使用弱密码，或者拥有政府或其他重要机构的账户。

和福勒一样，我们建议你始终使用包含多个大小写字母、数字和特殊字符的强而独特的密码，经常更改和更新密码，并且绝不重复使用密码。使用密码管理器来保管所有密码通常是最简便的方法，让密码保持私密和安全；如果可能的话，使用生物识别密钥。只要有可能，就在你的账户上启用双因素或多因素身份验证。

密切关注你所有的账户，如果你觉得自己可能已经或者知道自己已经成为数据泄露的受害者，可以在“HaveIBeenPwned”或密码泄露检查网站上查看你的账户情况。你还应该确保你的杀毒软件设置为定期扫描你的电脑；这些扫描可以设置为在你睡觉时或不使用电脑时自动运行，这样就不会打扰到你。

最后，了解网络钓鱼诈骗和社会工程攻击的迹象，以便你能加以防范 —— 在应对恶意软件时，你始终是最后一道防线，威胁行为者会利用他们掌握的所有信息，试图诱使你点击一个看似合法但实际上是恶意代码的链接，或者下载一个应用程序或软件。

• 切勿点击意外收到的链接、二维码或附件，也不要点击来自未知发件人的链接或附件。
• 如果有人联系你要求你下载或点击某个东西，通过独立的方式进行核实。
• 不要在网上与你不认识的人分享个人信息，并清理你账户中的旧电子邮件和包含可能含有个人详细信息的照片。