240亿条记录遭泄露：为何你的VPN救不了你

240亿条记录遭泄露：为何你的VPN救不了你

Cybernews的研究人员发现了一个迄今已知规模最大的未设防数据库，其中包含240亿条记录，涵盖用户名、电子邮件地址、明文密码及登录网址。这数十亿凭据泄露事件并非传统意义上的企业黑客攻击。它是一个未经任何加密保护、公开暴露在网上的被盗登录信息合集，任何拥有合适工具的人都能轻松利用。如果你认为订阅VPN就能让你免受此类泄露事件的影响，那么此次发现的细节值得你认真反思。

这个240亿条记录数据库的真实内容

这个数据库的规模令人难以理解。240亿条记录并不意味着有240亿人的信息被泄露。像这样的泄露汇编数据库，通常会聚合过去多年来数百次独立泄露事件的数据，这意味着同一个人的凭据可能会在不同的条目中重复出现数十次。

此次泄露尤为危险的原因在于其中包含了明文密码。许多数据库会将密码存储为哈希值，这至少在使用数据前设置了一道屏障。而明文密码则完全无需破解。攻击者可以拿到用户名，配对上其关联的密码，然后立即尝试登录。

数据库中还包含了登录网址，即与每组凭据相关联的具体网页地址。这个细节往往被低估。攻击者不必再拿着电子邮件与密码组合列表去匹配对应的服务，这个数据库直接为攻击者提供了清晰的路线图：这里有账户，这里是登录地址，这里是密码。这种详尽的细节极大地降低了从泄露记录到成功劫持账户之间的阻碍。

撞库攻击如何将泄露密码转化为账户劫持

撞库正是此类数据库被武器化的主要方式。自动化工具会以极高的速度遍历用户名和密码对，同时在数百个服务的登录页面上进行测试。由于许多人在不同账户间重复使用密码，一个服务泄露的凭据就可能解锁完全不同平台上的账户。

该数据库中的登录网址甚至让自动化步骤变得更为高效。攻击者无需猜测受害者使用了哪些服务。数据本身就告诉了他们。如果受害者重用了该密码，一条暴露的记录就可能导致银行账户、电子邮件收件箱或企业VPN门户被攻破。

这并非理论上的风险。撞库攻击已与金融机构、流媒体服务、电商平台以及企业系统的账户劫持事件关联起来。现有的凭据数据量已经庞大到即使是资源有限的攻击者也能大规模发起此类攻击。

同样值得注意的是，社会工程学技术正在与凭据盗窃同步进化。攻击者越来越多地将泄露数据与针对性的网络钓鱼活动结合起来。了解受害者的电子邮件地址、关联服务及密码，足以让恶意行为者获得足够的背景信息，来策划极具欺骗性的后续攻击，包括越来越难以与合法通信区分开的AI辅助钓鱼攻击。

为何仅靠VPN无法抵御此类威胁

VPN能加密你的互联网流量并隐藏你的IP地址。它是一款保护传输数据的实用隐私工具，尤其是在公共网络上。但是这个240亿条记录数据库所构成的威胁，与流量拦截毫无关系。

你的凭据并非在网络传输过程中被盗的。它们是从你登录过的某个服务中被窃取出来、并被不安全地存储，最终被汇总整合到一个汇编数据库中。当这个数据库落入攻击者手中时，你的VPN已经起不到任何作用了。损害是在存储层面就已造成的，而非传输层面。

这是一个在VPN的营销和讨论中经常被忽略的关键区别。VPN无法保护第三方服务劣质存储的数据。它无法防范使用你多年前设置的密码进行的撞库攻击。当你的电子邮件出现在泄露数据集中时，它也无法向你发出警报。这些完全需要不同的工具来解决。

即刻行动：多因素认证（MFA）、密码管理器与泄露监控

好消息是，抵御撞库攻击的防御措施非常成熟且易于获取。挑战在于大多数人尚未完全落实。

在任何提供多因素认证的地方开启它。 即使攻击者掌握了你的正确用户名和密码，多因素认证要求的第二步验证也几乎是他无法完成的。身份验证器应用比基于短信的验证码更安全，但任何一种方式都比完全不开启多因素认证要好得多。优先保护你的电子邮件账户、金融账户以及任何存储支付信息的服务。

使用密码管理器生成并存储唯一密码。 密码复用正是将单次凭据泄露转变为多账户沦陷的根源。密码管理器能消除为每个服务记忆唯一、复杂密码的认知负担。如果你一次泄露的凭据无法解锁任何其他账户，那么任何单次泄露造成的损害都将被控制在一定范围内。

检查你的凭据是否曾出现在已知的泄露事件中。 有几款信誉良好的泄露监控服务允许你输入电子邮件地址，查看它是否曾出现在已知的泄露数据集中。许多密码管理器现在已将这种监控作为内置功能。进行此项检查是了解你当前风险敞口的有力基线。

审核你现有的账户。 找出那些你不再使用的服务并删除它们，而不是简单地弃之不理。存在复用密码的休眠账户是一个巨大的隐患。活跃账户越少，意味着攻击面也越小。

这对你意味着什么

这数十亿在此次数据泄露中暴露的凭据，代表的是具体且迫在眉睫的威胁，而非假设性的未来风险。如果你拥有一些在养成良好密码卫生习惯之前创建的账户，那些旧的凭据可能早已存在于像这样的数据库中了。

正确的应对方式既不是放弃使用VPN，也不是惊慌失措。而是要认识到隐私和安全需要一套相辅相成的工具组合：用VPN保护传输流量、用密码管理器管理凭据卫生、用多因素认证控制账户访问、以及用泄露监控保持威胁感知。没有哪个单一工具能覆盖所有领域。

本周抽出三十分钟，审核一下你的安全设置。在你最敏感的账户上开启多因素认证，对你的主要电子邮件地址进行泄露检查，并核实你是否仍在不同服务间重复使用某些密码。与任何单一的隐私工具相比，这些步骤更能保护你的账户免受这个240亿条记录数据库带来的冲击。