研究发现暗网有150亿张被盗凭证用于销售

几乎每天都不会有新的网站和服务被黑客入侵的报告，也没有公司通过不安全的数据库公开客户数据的消息，但是总共窃取了多少个帐户凭据是个谜。

尽管它无法回答盗窃了多少个帐户凭据，但Digital Shadows Ltd.今天进行的一项新研究 对在暗网中出售的帐户凭据数量进行了统计，深色网络可以通过以下途径访问专用软件：150亿个。

该数字发布在新的白皮书 “从曝光到接管：150亿个被盗凭证允许帐户接管”中，这是通过Digital Shadows的安全研究人员对暗网中的犯罪市场进行18个月的审计而得出的。该研究发现，自2018年进行上次审核以来，流失的用户名和密码的数量已增加300％，其中150亿条记录来自100,000个数据泄露。

在150亿条记录中，据说50亿条是独一无二的。发现大多数记录属于消费者，个人记录平均售价为15.43美元。发现包括银行或其他金融帐户的记录是最有价值的，平均每条记录为70.91美元，其中约有25％的深色网络广告提供了此类记录。

可以使用防病毒程序的帐户也很受欢迎，每个帐户的平均价格为21.67美元，而访问媒体流帐户，社交媒体，文件共享，虚拟专用网络和成人内容网站的价格都在10美元以下。对组织关键系统的访问权交易费用很高，同时还发现许多用于域管理访问权的广告。在许多情况下，它们被拍卖给最高出价者，价格从500美元到120,000美元不等，平均价格为3,139美元。

研究人员还注意到“帐户接管即服务”的增长，在这种情况下，犯罪分子无需购买凭证，而是可以在给定的时间内租用一个身份，通常花费不到10美元。

首席信息安全官兼副总裁Rick Holland表示：“可用凭证的数量惊人，在过去的1.5年中，我们已经确定并提醒客户注意大约2700万个凭证，这些凭证可能会直接影响到它们。”声明称，Digital Shadows的战略。“这些公开帐户中的某些帐户可以（或访问）非常敏感的信息。一次违规暴露的细节可以重新用于破坏其他地方使用的帐户。”

他补充说，信息很简单：“消费者应为每个帐户使用不同的密码，组织应跟踪可能危害其员工和客户详细信息的地方，从而领先于犯罪分子。”

数字身份公司ForgeRock Inc.认证的信息系统安全专家，全球业务和企业发展高级副总裁Ben Goodman 告诉SiliconANGLE，密码已成为数十年来的主要认证方法，大多数用户平均拥有130多个在线帐户。

他说：“用户不太可能会记住130组独特的登录凭据，因此，大多数人选择在大多数（甚至不是全部）帐户中重用相同的密码和用户名。” “事实上，已经被网络钓鱼攻击所骗的人中，仍有57％仍未更改其密码，从而使欺诈者能够利用一个帐户中的受损登录凭据来访问具有更多关键数据的其他配置文件，包括银行和医疗保健信息。”

他的建议：组织必须认识到密码和用户名的安全风险，并采用技术来启用无密码和无用户名的登录。