史上第二大数据库泄露：240亿条记录被扒光，你的密码可能已经裸奔了

240亿条记录被扒光，史上第二大数据库泄露究竟有多可怕？

先说一个让人后背发凉的消息。

就在昨天，网络安全媒体 Cybernews 爆出了一起超级数据泄露事件——整整240亿条记录，超过8.3TB的数据，被直接裸奔在互联网上。这个规模有多大？这么说吧，如果把这些数据打印出来，堆起来的纸能绕地球好几圈。

这已经是人类历史上第二大的数据泄露事件了。排第一的是2024年的"泄露之母"，那次是12TB、260亿条记录。这次虽然排第二，但性质一点不比上次轻。

研究人员是6月12号发现了一个暴露在公网上的 Elasticsearch 集群，没有任何密码保护，谁都能连上去看。里面的数据大部分来自信息窃取软件——就是那种偷偷潜伏在电脑里，记录你所有键盘输入的恶意程序。

泄露的内容包括：邮箱地址、用户名、明文密码、登录的网站URL。说白了，你在哪些网站注册过、用的什么账号密码，全部被扒得干干净净。

而且这些数据来自36个不同的来源。光是 Telegram 频道，就贡献了超过17亿条记录。还有一个叫"Darkside"的频道放了2600万条。更有22.6亿条记录来源不明，研究人员推测可能是之前各种泄露数据的合集打包。

干我们这行的，看到这种新闻第一反应可能是"哎呀又来了"。但讲道理，这次的事情跟程序员的关系其实比普通人还大。

你想，如果这次泄露的数据里有你的服务器SSH密钥、数据库连接串、API Token……那后果就不是改个密码那么简单了。很多开发者为了方便，习惯把敏感信息写在代码里或者配置文件里，不管怎么加密，只要机器被种了木马，一切都白搭。

我身边就有哥们儿被坑过。他本人在GitHub上不小心把 AWS 密钥传上去了，不到24小时账号就被盗刷了3000多美金。后来查出来，有人跑专门的爬虫24小时盯着GitHub上的关键字泄露。

咱也不说什么虚的，直接上几个实在的建议：

第一，赶紧去 Have I Been Pwned 查查自己的邮箱有没有在这个泄露库里。这个网站专门收录已知的泄露数据，输入邮箱就能查到。

第二，密码管理器用起来。别再用"123456"或者"password"了行不行？现在随便一个密码管理器都能帮你生成和存储高强度密码，你还省心。

第三，重要的账号一定要开双重认证。这一步能挡住99%的自动攻击。

第四，如果你手上有线上项目，务必定期检查服务器日志，看有没有异常的登录尝试。另外运维的同学，Elasticsearch、MongoDB这些数据库一定不要暴露在公网上，一定要加认证。