240亿个被盗的登录名和密码被集中在一个地方——一个任何人都可以连接的开放服务器上。这是Cybernews研究人员的发现——不仅仅是又一次“泄露了N百万”。这是一个整个行业的展示:信息窃取者盗取凭证,组合列表将其聚合,而机器人军队通过网站进行尝试,将每一次尝试伪装成真实用户,使用住宅和移动代理。我们来分析一下发现了什么,凭证填充是如何运作的,以及为什么这个黑市也影响合法的网络抓取和多账户使用。
发生了什么:一个服务器上有8.3TB和240亿条记录
2026年6月12日,Cybernews的研究人员发现了一个开放的Elasticsearch集群,容量为8.3TB,其中包含240亿条记录。该数据库没有受到密码或任何身份验证的保护——任何知道地址的人都可以阅读它。在发现发布后不久,服务器被下线,因此研究人员未能找到所有者。
这个数据集是从36个来源收集而来的,这是一个关键细节。大部分是所谓的“集合”(约226亿条记录),但其余部分的结构尤其引人注目:
- 超过17亿条记录直接来自Telegram频道——在36个来源中,有超过30个是公开交易被盗数据的频道;
- 约2.6亿条记录——来自与“Darkside”相关的频道;
- 约1.5亿——本地数据库的转储;
- 约1.46亿——来自过去泄露的组合(组合列表)。
其中不仅仅是“电子邮件和密码”。数据集中有相当一部分是信息窃取者的日志:像RedLine、Lumma和Vidar这样的恶意软件,从感染的浏览器中提取所有内容。在更完整的日志中,保存了密码、会话cookie和令牌——包括那些可以绕过双因素身份验证的、自动填充数据、设备指纹,有时还有加密钱包。每条记录通常附有服务的URL,说明密码适用于哪个服务——也就是一份“登录指南”。
另一个令人担忧的细节是:根据间接证据(数据集中发现了直到2026年的新材料链接),可以看出所有者定期更新数据库。这不是一个档案垃圾场,而是一个活跃的、不断更新的工具。
如何从泄露的密码中赚钱:凭证填充
单独的“登录-密码”列表是无用的,直到它们在真实网站上被验证。这就是凭证填充的作用:自动化的机器人获取被盗的配对,试图在数百个服务上批量登录,期望人们在多个地方使用相同的密码。
问题的规模在2025年Verizon DBIR的数据中得到了很好的体现。凭证填充占据了所有单日登录尝试的中位数19%,在大型企业中这一比例达到了25%,而在记录的最糟糕的一天——达到了44%的所有登录流量。被盗的凭证是22%确认的入侵的初始向量。仅在2025年,从暗网组合列表中收集了约20亿个独特的配对——而现在在一个服务器上就有240亿条记录。
这就是直接关系到代理行业的部分。为了在最初的尝试中不被发现,攻击者通过住宅和移动代理池发送请求:每次登录尝试都来自真实提供商或移动运营商的新IP地址。对于网站的保护来说,这看起来不是一台可疑的机器在疯狂尝试,而是一千个来自不同城市的“普通用户”。在这种轮换下,经典的基于单个IP的请求频率保护几乎毫无用处。
为什么这影响合法的抓取和多账户使用
看似与那些进行合法数据收集、SMM自动化或为业务管理多个账户的人有什么关系?因为反机器人系统不区分意图——它们区分模式。恶意行为者越积极地将凭证填充伪装成通过住宅IP的真实流量,Cloudflare、Akamai、DataDome和AWS WAF对所有人的限制就越严格。
因此,检测的重点从IP级别转移到了身份级别。如今,过滤器不再仅仅关注地址,而是关注客户的行为和网络指纹的外观:
- TLS和HTTP指纹识别(JA3/JA4)——如果握手与声明的浏览器不匹配,客户将被标记为可疑;
- 行为时间分析——真实人类在行为之间的暂停是“浮动”的,而脚本往往会产生几乎相同的间隔;
- 成功率的异常——稀有的成功登录,分散在多个账户上——是凭证填充的典型特征;
- 标题和JavaScript中的空白——不完全渲染页面的机器人会丢失cookie和JS设置的值。
正因如此,在2026年,抓取越来越多地变成了一场身份的游戏,而不是IP数量的竞赛——我们详细讨论了TLS和JA4指纹识别的机制。对于合法项目来说,简单的结论是:质量和“干净”代理现在比数量更重要。昨天用于破解他人密码的IP,今天已经在声誉系统的黑名单中——并拖累了你的合法流量。
还有一个声誉的维度。围绕被黑的智能电视的僵尸网络的丑闻和最近清除阴暗代理网络的事件表明,部分“住宅”市场是由可疑来源供养的。这对企业来说是一个信号,选择具有透明IP来源和明确KYC的提供商,而不是最便宜的未知质量池。合法的住宅代理和移动代理来自经过验证的网络,提供了所需的“干净”声誉——没有与凭证填充流量处于同一领域的风险。
现在该做什么
对于普通用户来说,防止此类泄露的主要保护措施不是密码本身,而是它的唯一性。窃取你论坛密码的信息窃取者的危险程度,正好取决于同样的密码是否适用于你的邮箱和银行。
- 每个服务使用唯一密码,并使用密码管理器来记住它们。凭证填充完全依赖于重复使用。
- 在关键账户上启用双因素身份验证或密码密钥——邮箱、银行、商店、社交网络。即使密码泄露,没有第二个因素也更难登录。
- 记住会话令牌。信息窃取者会窃取cookie,这些cookie可以在输入密码和2FA后继续使用——因此在怀疑感染时,不仅要更改密码,还要结束所有设备上的活动会话。
- 不要随便运行任何东西。信息窃取者通过恶意广告、假冒“浏览器更新”、被黑软件、游戏作弊、可疑扩展和ClickFix攻击传播,受害者被说服自己执行命令。
对于那些合法自动化网站操作的人来说,教训是另一个:分离身份,不要混合。一组独立的账户——一个独立的干净IP,一个独立的浏览器配置文件,具有一致的指纹。正是这样构建反检测场景,因此今天廉价的“灰色”代理池对项目的危险性超过了没有代理。
结论
240亿条记录在一个没有密码保护的服务器上——这不是为了创纪录而创纪录,而是一个运作经济的快照:信息窃取者在入口,组合列表在中间,通过住宅代理进行凭证填充在出口。只要人们继续重复使用密码,这个流水线就会盈利,而反机器人保护也会越来越严格。忽视安全卫生的人将会失败:没有唯一密码和2FA的普通用户——以及试图在基础设施的清洁上节省成本的企业。在一个基于身份而非IP的检测世界中,追求透明度和质量不再是一种奢侈。
