1亿8400万件的登陆信息泄露，恶意软件收集的可能性=报道

网络安全研究员Jeremiah Fowler于2025年5月22日发现，未加密的数据库中包含1亿8,416万2,718条登录信息和密码，并向海外网络安全媒体Website Planet进行了报告。

数据库的容量达到47.42GB，推测是由InfoStealer恶意软件（信息窃取型恶意软件）收集的。

漏洩数据的详细信息和影响范围

! [](http://img.gateio.im/social/moments-e4fe1498a9b6f30907a7a0e89320dbc0019283746574839201来源：网站星球

) 包含的认证信息类型

公开的数据集中包含了广泛服务的认证信息。包括邮件服务提供商和Microsoft产品在内，Facebook、Instagram、Snapchat、Roblox等主要社交媒体平台的账户信息已被确认。

包括多个国家的银行账户和金融机构的账户、医疗平台、政府机构的门户网站的访问信息，这使得泄露的个人和组织面临重大风险。

Fowler氏联系了注册在数据库中的多个电子邮件地址，确认记录中包含准确有效的密码。数据库连接了两个域名，但未能确定所有者。

InfoStealer恶意软件的特点

InfoStealer（信息窃取者）是指专门从感染系统中窃取机密信息的恶意软件的总称。主要针对存储在Web浏览器、电子邮件客户端和消息应用中的认证信息，同时也窃取自动填充数据、Cookie和加密货币钱包的信息。一些变种还具备截屏和记录键入的功能。

目前，关于此次事件的数据收集路径尚未确定，但由于网络犯罪分子通常通过钓鱼邮件、恶意网站、破解的软件等途径传播恶意软件，因此需要保持警惕。

预期的主要安全风险

凭证填充攻击

凭证填充攻击是一种自动化的攻击方法，使用被盗的认证信息尝试非法访问多个在线服务。

许多用户滥用在多个服务中重复使用相同密码的习惯，利用僵尸网络每秒进行数千次的登陆尝试。攻击者可以利用泄露的1亿8400万条认证信息，在银行、社交媒体、电子商务网站、企业系统等所有在线服务中尝试登录。

成功率一般在0.1%到2%之间，但在此次规模下，可能会有数十万到数百万的账户被侵犯。

账户劫持（ATO）

账户劫持（Account Takeover：ATO）是一种攻击，使用合法的认证信息完全控制用户的账户。

特别是未启用双因素认证（2FA）的账户，仅凭登录ID和密码就可能被入侵，面临极高的风险。攻击者一旦接管账户，就能访问所有存储的个人信息（PII）、信用卡信息、购买历史、联系人列表等数据。

此外，假冒受害者向朋友、家人和商业伙伴发送欺诈邮件、进行非法转账以及通过更改账户设置导致的锁定等，存在连锁发生二次损害的危险。

对企业和政府机构的影响

此次泄露的数据确认包含大量企业账户和各国政府机构（.gov）账户。如果企业的认证信息被恶用，攻击者将能够入侵内部网络，窃取机密商业数据，进行工业间谍活动，甚至执行勒索软件攻击。

特别让人担忧的是政府机构的账户。如果这些账户中包含有国家重要基础设施或机密信息的访问权限，将对国家安全构成严重威胁。此外，还有可能被恶意利用作为供应链攻击的起点，一次侵害可能会连锁扩大风险。

加密资产相关的风险

InfoStealer恶意软件的亚种不仅以交易所账户为目标，还以浏览器扩展型钱包的私钥和种子短语为目标。

例如，Microsoft 在 2025 年 3 月警告的 StilachiRAT 针对 20 多种类型的钱包，包括 MetaMask、Trust Wallet 和 Phantom，并通过 Windows 注册表窃取凭据。

如果此次泄露的认证信息中包含加密资产交易所的账户，则未设置2FA的账户可能会立即执行不正转账。

由于加密资产交易是不可逆的，一旦汇款，回收将极为困难。此外，最新的恶意软件中有些具备监控剪贴板、自动检测和窃取地址及私钥的功能，因此对加密资产持有者构成持续的威胁。

用户应采取的安全措施

此次大规模泄露是重新审视个人密码和安全措施的重要机会。为了防止损害扩大，所有用户都被要求迅速采取措施。

用户应采取的主要措施如下。通过结合这些措施，可以成为防止信息泄露的手段。

• 密码管理 每年定期更改一次，所有账户使用独特的复杂密码。建议使用密码管理器。
• 2因素认证（2FA）
  特别是在金融机构、加密资产交易所和重要账户中是必需的
• 账户监控
  在Have I Been Pwned（HIBP）中进行泄露确认，利用登陆通知和活动警报
• 加密资产的保护
  大量资产由硬件钱包管理
• 安全软件
  引入可靠的杀毒软件，并保持始终处于最新状态。对于高级保护，请考虑EDR解决方案。