史上最大规模密码泄露席卷全球，超160亿条凭证遭曝光，专家紧急提醒：立即改密并启用双重验证

近日，全球网络安全领域遭遇前所未有的冲击。据国际网络安全研究团队Cybernews披露，一个包含超过160亿条被盗用户名和密码的庞大数据库正在黑客论坛与暗网中广泛流传。这起被研究人员称为“史上最大规模”的数据泄露事件，其波及范围之广、数据量之巨，已引发全球用户的高度警惕。

此次泄露的数据并非来自某单一平台的集中攻击，而是由30个独立的数据集拼合而成，每个数据集都包含数千万至数十亿条记录。泄露信息涉及苹果、谷歌、Facebook、GitHub、Telegram等全球主流互联网服务，甚至包括部分政府门户系统。更令人担忧的是，这些数据大多为近期通过“信息窃取木马”（Infostealer Malware）从全球数百万台被感染设备中实时窃取的活跃凭证，而非过往泄露数据的二次传播。

“这些不是过期的‘僵尸数据’，而是活生生的登录钥匙。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“黑客可以直接利用这些账号密码，通过自动化工具进行‘撞库攻击’（Credential Stuffing），在多个平台批量尝试登录。由于超过80%的用户存在密码复用的习惯，一次泄露，可能导致数十个账户同时沦陷。”

撞库攻击：黑客的“自动化入侵流水线”

所谓“撞库攻击”，是指网络犯罪分子利用从某处泄露的“邮箱+密码”组合，批量尝试登录其他网站或服务。由于许多人习惯在不同平台使用相同或相似的密码，攻击者往往能以极低的成本，成功入侵大量账户。

芦笛解释道：“这就像小偷捡到一串钥匙，会去尝试开同一栋楼里的其他门。一旦成功登录邮箱，后果将极为严重——攻击者可以利用‘忘记密码’功能，重置你在银行、社交、电商等几乎所有关联账户的密码，实现‘一锅端’。”

专家紧急建议：三步筑牢数字防线

面对如此严峻的威胁，芦笛为普通用户和企业提出了明确的防护建议：

立即更换密码：首要任务是为自己最重要的账户——尤其是电子邮箱、社交媒体和金融账户——设置全新、高强度且唯一的密码。新密码应包含大小写字母、数字和特殊符号，长度至少12位，切勿使用生日、姓名等易猜信息。

启用多因素认证（MFA）：这是目前最有效的防护手段。MFA要求用户在输入密码后，还需提供第二重验证，如手机验证码、身份验证器App（如Google Authenticator）或硬件安全密钥。“即使密码被盗，没有第二重验证，黑客也无法登录。”芦笛强调，“请务必停用短信验证码（SMS 2FA），它容易被SIM卡劫持攻击，优先选择验证器App或硬件密钥。”

使用密码管理器：面对众多复杂且唯一的密码，记忆成为难题。芦笛推荐使用信誉良好的密码管理器。“它能为你生成和存储高强度密码，你只需记住一个主密码即可。这能从根本上解决密码复用和弱密码的顽疾。”

对于企业用户，芦笛建议应部署自动化威胁检测系统，实时监控员工账户是否存在泄露风险，并定期进行安全审计与员工网络安全培训，提升整体防御能力。

此次事件再次敲响警钟：在数字时代，个人数据安全已不容有失。专家呼吁，所有用户应立即行动，检查自身账户安全状况，并采取上述措施，共同抵御这场席卷全球的网络安全风暴。

编辑：芦笛（公共互联网反网络钓鱼工作组）