國外一黑客本周發布了大量的網絡數據列表，這些憑據用于超過51萬臺服務器，涉及大量家用路由器和IoT（物聯網）“智能”設備。

該列表已發布在一個受歡迎的黑客論壇上，其中包括每個設備的IP地址，以及網絡服務的用戶名和密碼，該服務可用于控制Internet上的遠程訪問協議。

泄密者本人的說法，該列表是通過掃描整個Internet來查找暴露其網絡端口的設備而編制的。然后，黑客嘗試使用出廠設置的默認用戶名和密碼，或自定義但易于猜測的密碼組合。

這些類型的列表（稱為“機器人列表”）是IoT僵尸網絡操作的常見組件。黑客掃描互聯網以建立漫游器列表，然后使用它們來連接設備并安裝惡意軟件。

這些列表通常是不公開的，盡管有些列表過去曾在網上泄漏過，例如2017年8月泄漏的33,000個家庭路由器網絡憑據列表。據我們所知，這是迄今為止已知的最大通信網密碼泄漏。

DDoS服務運營商泄露的數據。該列表是由DDoS租用（DDoS引導程序）服務的維護者在線發布的。

當被問及為什么他發布如此龐大的“機器人”列表時，泄漏者說他將DDoS服務從在IoT僵尸網絡之上的工作升級為依靠從云服務提供商租用高輸出服務器的新模式。

黑客泄露的所有列表的日期均為2019年10月至11月。其中一些設備現在可能在不同的IP地址上運行，或使用不同的登錄憑據。

當然我們并未使用任何用戶名和密碼組合來訪問任何設備，因為這是非法的-因此我們無法告訴我們許多此類憑證仍然有效。

一些設備位于已知互聯網服務提供商的網絡上（表明它們是家用路由器或IoT設備），而其他設備則位于主要云服務提供商的網絡上。

一位IoT安全專家提醒，即使列表中的某些條目由于設備可能已更改其IP地址或密碼而不再有效，對于熟練的攻擊者而言，列表仍然非常有用。

配置錯誤的設備不會在Internet上平均分布，但是由于ISP的員工在將設備部署到各自的客戶群時會對其進行錯誤配置，因此它們通常聚集在一個ISP的網絡上。

攻擊者可能會使用列表中包含的IP地址，確定服務提供商，然后重新掃描ISP的網絡以使用最新的IP地址更新列表。

這樣看來，物聯網設備在駭客面前就像裸奔。只能提醒廣大物聯網設備、尤其是家庭物聯網設備使用者。一定注意自身隱私的保護。