摘要:2025 年 6 月 12 日,Cybernews 研究人员发现一个暴露在公网的 Elasticsearch 集群,内含 240 亿条记录、8.3TB 数据,规模仅次于 2024 年的”泄露之母”(MOAB)事件。该数据库主要由信息窃取软件(infostealer)日志构成,包含邮箱、用户名、明文密码、登录 URL 及来源标注,涉及 36 个数据源。本文梳理事件关键事实,并给出企业端的应急响应与长期防护建议。
一、事件核心事实速览
| 要素 | 内容 |
|---|---|
| 发现时间 | 2025 年 6 月 12 日 |
| 披露时间 | 2025 年 6 月 17 日(Cybernews 发布博文) |
| 数据规模 | 240 亿条记录,超过 8.3TB |
| 历史排名 | 史上第二大数据泄露事件,仅次于 2024 年 MOAB 事件(12TB / 260 亿条) |
| 数据形态 | Elasticsearch 集群暴露,主要为 infostealer 窃取日志 |
| 敏感字段 | 邮箱地址、用户名、明文密码、登录 URL、来源标注 |
| 数据来源数 | 36 个不同来源 |
| 数据所有者 | 身份未知,可能是企业或威胁行为者 |
二、这 240 亿条记录从哪来?
根据 Cybernews 披露,数据来源构成如下:
- Telegram 频道:贡献超过 17 亿条记录,其中约 2600 万条来自名称含”Darkside”的频道
- “collections”(集合):规模最大,达 22.6 亿条,具体来源不明,疑为此前泄露的 infostealer 日志合集或按服务分组的凭据
- “本地数据库转储”:约 1.5 亿条,可能直接从目标服务器导出
- 其余记录分布在 36 个来源中,以 infostealer 窃取日志为主
⚠️ 研究人员目前无法确认:重复记录数量、受影响唯一用户数、数据新旧程度、数据所有者真实身份。
三、为什么这次泄露值得企业警惕?
1. 明文密码是最大风险点
与以往的哈希泄露不同,本次数据中密码以明文形式存储。这意味着攻击者无需破解即可直接用于:
- 凭证填充攻击(Credential Stuffing):对企业登录页、API、后台进行批量撞库
- 横向渗透:若员工在不同系统复用密码,一个泄露可牵出多个内网入口
- 供应链攻击:用泄露凭据登录第三方 SaaS、代码仓库、云控制台
2. 数据来源包含”本地数据库转储”
1.5 亿条”本地数据库转储”记录,意味着部分数据直接从目标服务器导出——这指向的是更上游的入侵行为,而非单纯的窃取软件日志聚合。
3. Telegram 成为泄露数据流通枢纽
17 亿条记录来自 Telegram 频道,说明黑产已将即时通讯平台作为数据分发主渠道,传统监控手段难以覆盖。
四、企业应急响应清单(建议 72 小时内完成)
针对本次事件,企业安全/运维团队建议按以下优先级执行:
第一优先级(24 小时内)
- 排查暴露面:检查自有 Elasticsearch、MongoDB、Redis 等服务是否暴露公网,确认认证与访问控制
- 强制密码重置:对管理员、运维、开发等高权限账号强制改密,启用 MFA
- 凭证泄露检测:使用 HIBP API 或商业威胁情报服务,比对员工企业邮箱是否出现在本次泄露库中
第二优先级(48 小时内)
- 登录异常监控:在 WAF / 风控层开启凭证填充防护,对高频失败登录、异地登录、异常 UA 触发挑战
- API 接口加固:对登录、充值、查询类接口增加限流与行为分析
- 第三方账号审计:排查云厂商、代码托管、DNS 服务商等关键第三方账号是否使用疑似泄露密码
第三优先级(72 小时内)
- 全员安全通知:提醒员工不在工作账号复用个人密码,警惕钓鱼邮件
- 日志留存与溯源:确认近 30 天登录日志完整可查,为后续溯源保留证据
- 更新应急响应预案:将”大规模凭据泄露”纳入常态化演练场景
五、长期防护:从被动救火到主动防御
本次事件再次印证:数据泄露已从”会不会发生”变成”什么时候发生”。企业需要建立分层防御:
| 防护层 | 关键措施 | 对应产品能力 |
|---|---|---|
| 边界防护 | WAF 凭证填充防护、Bot 识别、CC 防护 | 拦截撞库、暴力破解 |
| 身份安全 | 强制 MFA、零信任访问、最小权限 | 阻断凭据复用 |
| 数据安全 | 数据库加密、脱敏、访问审计 | 降低泄露后影响 |
| 威胁情报 | 订阅泄露库监控、暗网监测 | 提前预警 |
| 应急响应 | 预案演练、日志留存、溯源能力 | 缩短响应时间 |
💡 主机吧提示:对于没有专职安全团队的中小企业,建议优先部署云 WAF(如支持凭证填充防护和 AI 行为分析的方案),以较低成本覆盖最核心的边界防护需求。涉及具体产品配置时,请先在测试环境验证,避免误封正常业务。
六、常见问题(FAQ)
Q1:这次泄露事件和 2024 年的”泄露之母”(MOAB)有什么区别?
MOAB 事件发生于 2024 年,体积 12TB、含 260 亿条记录;本次事件 8.3TB、240 亿条记录,规模排名第二。两者均涉及大量历史泄露数据聚合,但本次数据中明文密码占比较高,且包含”本地数据库转储”,指向更直接的入侵行为。
Q2:我的企业没有数据在这次泄露里,需要处理吗?
需要。即使本次未直接涉及,infostealer 窃取的凭据会持续流入黑产。建议常态化开展凭证泄露检测,并对关键账号强制 MFA。
Q3:Elasticsearch 暴露公网为什么频繁导致泄露?
Elasticsearch 默认无认证,部分部署为方便调试开放公网访问,一旦未配置访问控制即等于公开数据。建议:绑定内网、启用 Security 模块、配合反向代理鉴权。
Q4:企业如何检测自己是否被 infostealer 感染?
可部署 EDR 工具监测异常进程外联行为;检查员工终端是否有未知浏览器扩展、异常证书;订阅威胁情报服务获取窃取日志预警。
Q5:明文密码泄露后,仅改密码够吗?
不够。需同步:①启用 MFA;②排查同一密码在其他系统的复用;③检查该账号近期是否有异常登录或数据导出;④评估是否需要吊销已签发的 token / session。
七、信息来源与免责声明
- 原始信源:Cybernews(2025 年 6 月 17 日博文)
- 国内转载:IT之家
- 数据状态:截至发文时,数据所有者身份、重复记录数、受影响唯一用户数均未确认
- 免责声明:本文所述防护建议基于公开信息整理,企业实际部署前请结合自身业务环境测试验证。涉及产品功能表述请以厂商官方文档为准。
本文由主机吧安全团队整理,专注为企业站长提供可落地的网络安全实战方案,涵盖 WAF、高防 CDN、高防 IP、SSL 证书、漏洞防护等产品与服务。
