國(guó)外一黑客本周發(fā)布了大量的網(wǎng)絡(luò)數(shù)據(jù)列表，這些憑據(jù)用于超過(guò)51萬(wàn)臺(tái)服務(wù)器，涉及大量家用路由器和IoT（物聯(lián)網(wǎng)）“智能”設(shè)備。

該列表已發(fā)布在一個(gè)受歡迎的黑客論壇上，其中包括每個(gè)設(shè)備的IP地址，以及網(wǎng)絡(luò)服務(wù)的用戶(hù)名和密碼，該服務(wù)可用于控制Internet上的遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議。

泄密者本人的說(shuō)法，該列表是通過(guò)掃描整個(gè)Internet來(lái)查找暴露其網(wǎng)絡(luò)端口的設(shè)備而編制的。然后，黑客嘗試使用出廠設(shè)置的默認(rèn)用戶(hù)名和密碼，或自定義但易于猜測(cè)的密碼組合。

這些類(lèi)型的列表（稱(chēng)為“機(jī)器人列表”）是IoT僵尸網(wǎng)絡(luò)操作的常見(jiàn)組件。黑客掃描互聯(lián)網(wǎng)以建立漫游器列表，然后使用它們來(lái)連接設(shè)備并安裝惡意軟件。

這些列表通常是不公開(kāi)的，盡管有些列表過(guò)去曾在網(wǎng)上泄漏過(guò)，例如2017年8月泄漏的33，000個(gè)家庭路由器網(wǎng)絡(luò)憑據(jù)列表。據(jù)我們所知，這是迄今為止已知的最大通信網(wǎng)密碼泄漏。

DDoS服務(wù)運(yùn)營(yíng)商泄露的數(shù)據(jù)。該列表是由DDoS租用（DDoS引導(dǎo)程序）服務(wù)的維護(hù)者在線(xiàn)發(fā)布的。

當(dāng)被問(wèn)及為什么他發(fā)布如此龐大的“機(jī)器人”列表時(shí)，泄漏者說(shuō)他將DDoS服務(wù)從在IoT僵尸網(wǎng)絡(luò)之上的工作升級(jí)為依靠從云服務(wù)提供商租用高輸出服務(wù)器的新模式。

黑客泄露的所有列表的日期均為2019年10月至11月。其中一些設(shè)備現(xiàn)在可能在不同的IP地址上運(yùn)行，或使用不同的登錄憑據(jù)。

當(dāng)然我們并未使用任何用戶(hù)名和密碼組合來(lái)訪(fǎng)問(wèn)任何設(shè)備，因?yàn)檫@是非法的-因此我們無(wú)法告訴我們?cè)S多此類(lèi)憑證仍然有效。

一些設(shè)備位于已知互聯(lián)網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)上（表明它們是家用路由器或IoT設(shè)備），而其他設(shè)備則位于主要云服務(wù)提供商的網(wǎng)絡(luò)上。

一位IoT安全專(zhuān)家提醒，即使列表中的某些條目由于設(shè)備可能已更改其IP地址或密碼而不再有效，對(duì)于熟練的攻擊者而言，列表仍然非常有用。

配置錯(cuò)誤的設(shè)備不會(huì)在Internet上平均分布，但是由于ISP的員工在將設(shè)備部署到各自的客戶(hù)群時(shí)會(huì)對(duì)其進(jìn)行錯(cuò)誤配置，因此它們通常聚集在一個(gè)ISP的網(wǎng)絡(luò)上。

攻擊者可能會(huì)使用列表中包含的IP地址，確定服務(wù)提供商，然后重新掃描ISP的網(wǎng)絡(luò)以使用最新的IP地址更新列表。

這樣看來(lái)，物聯(lián)網(wǎng)設(shè)備在駭客面前就像裸奔。只能提醒廣大物聯(lián)網(wǎng)設(shè)備、尤其是家庭物聯(lián)網(wǎng)設(shè)備使用者。一定注意自身隱私的保護(hù)。