Synthient 的网络安全研究人员发现了 1.83 亿个电子邮件密码集合,其中包括数百万个来自 Gmail 帐户的密码,这些密码通过信息窃取恶意软件活动而暴露。由于对地下通道的监控,这些数据于 2025 年 10 月 21 日出现在 Have I Been Pwned 数据库中,这是今年最大的凭证泄露事件之一。谷歌公开回应了这一事件,否认 Gmail 存在直接安全漏洞的说法。该公司在社交媒体上的一份声明中宣称,“有关‘Gmail 安全漏洞影响数百万用户’的报道是错误的。”官员们强调,泄露的凭据源自个人用户设备上的恶意软件感染,而不是 Gmail 服务器基础设施中的任何漏洞。这种区别凸显了数据是如何通过针对最终用户系统的持续威胁而不是集中式服务故障来收集的。该数据集源自 Synthient(一家专注于跟踪信息窃取者活动的网络安全公司)近一年的密集监控。研究人员观察到凭证在 Telegram、各种社交媒体网站和暗网论坛等平台上共享和出售。这些地下网络是网络犯罪分子交换从全球受感染机器获得的被盗信息的枢纽。 Troy Hunt,Have I Been Pwned 服务的创建者和维护者, 分析过的 提交并确认了其规模,指出它包含 3.5 TB 的数据,总共包含 230 亿条记录。为了验证内容的真实性,亨特联系了泄露中列出的用户。一位受影响的订阅者做出了肯定的回应,称泄露的信息与“我的 Gmail 帐户的准确密码”相符。此验证过程涉及根据已知违规行为和用户报告交叉检查详细信息,以确保数据集的合法性。记录本身由用户交互期间捕获的特定元素组成:发生登录的网站 URL、关联的电子邮件地址以及在这些网站上输入的相应密码。所有这些信息都是从已经受到恶意软件危害的设备中自动收集的,通常是在检查电子邮件或访问银行门户等日常在线活动期间。对数据集的分析揭示了暴露历史的模式。准确地说,91% 的凭据已在其他地方记录的先前数据泄露事件中出现。相比之下,大约 1640 万个电子邮件地址代表全新的条目,以前从未在任何泄露记录中发现过。包含当前活动的密码会增加凭证填充攻击的可能性,攻击者利用这些有效的组合来尝试在多个平台上进行未经授权的访问,从而利用跨服务的登录详细信息的重用。 Infostealer 恶意软件已成为主要威胁媒介。研究人员记录,仅 2025 年前六个月,被盗凭证就激增了 800%。这些程序在受感染的系统上秘密运行,有条不紊地提取敏感数据,包括登录凭据、存储的浏览器信息和活动会话令牌,而不会触发明显的警报。 Synthient 的研究员 Benjamin Brundage 详细介绍了他们的监控工具如何捕获在恶意软件活动加剧期间一天内处理的多达 6 亿个被盗凭证的峰值。该恶意软件主要通过欺骗性渠道传播。常见的媒介包括诱骗收件人打开恶意附件或链接的网络钓鱼电子邮件、下载带有有害代码的看似合法的软件以及被篡改以包含后门的浏览器扩展。在许多情况下,感染会在很长一段时间内未被发现,从而在用户继续正常使用设备时导致长时间的数据泄露。作为回应,谷歌建议针对高风险用户采取具体的保护措施。启用两步验证除了密码之外还增加了一层额外的安全性,需要第二种形式的身份验证,例如移动代码。该公司还推广万能钥匙作为传统密码的强大替代品,利用加密标准来增强针对网络钓鱼和盗窃的保护。个人可以通过在 Have I Been Pwned 网站上搜索来验证他们的电子邮件地址或凭据是否包含在此次泄露中。那些找到匹配的人应立即将其密码更新为唯一的、强大的版本,并对所有相关帐户启用多重身份验证,以降低进一步的风险。
