网络安全研究人员本周披露,通过信息窃取恶意软件活动,共有1.83亿个电子邮件密码遭到泄露,其中包括数百万个Gmail 账户。这起于10月21日在Have I Been Pwned数据库中曝光的泄露事件,是2025年记录的最大规模凭证泄露事件之一。
Google 坚决否认将此事件定性为Gmail泄露事件,并在社交媒体上澄清称"关于'Gmail安全漏洞影响数百万用户'的报道是不实的。" 该公司解释说,这些被泄露的账户源于用户设备上的恶意软件感染,而非Gmail服务器的安全故障。
泄露的数据代表了网络安全公司 Synthient 对信息窃取恶意软件活动近一年的监控,该公司追踪了通过 Telegram、社交媒体平台和暗网论坛等地下渠道流通的凭证。Have I Been Pwned 的创始人 Troy Hunt 确认该数据集包含 3.5 TB 的信息,涵盖 230 亿条记录。
Hunt 通过联系受影响的用户验证了凭证的真实性,其中一名订阅者确认泄露的信息与"我 Gmail 账户的准确密码"相符。该数据集包括网站 URL、电子邮件地址以及用户在受感染设备上登录各种服务时捕获的密码。
虽然 91% 的泄露凭证此前已在其他数据泄露事件中被识别,但约有 1640 万个电子邮件地址从未出现在任何先前的数据泄露记录中。安全研究人员警告称,包含有效密码大大增加了跨多个平台进行凭证填充攻击的风险。
