暗网惊现近940亿被盗Cookie，15.6亿仍活跃，用户隐私岌岌可危

近日，NordVPN 联合威胁暴露管理平台 NordStellar 发布报告，披露暗网正在流通约 937亿条被盗浏览器 Cookie，引发了全球网络安全专家对隐私泄露的严重担忧。

Cookie 是网站在用户设备上存储的小型文件，用于记录访问行为、保持登录状态等便利性功能。然而，正是这些看似无害的数据，正在被网络犯罪分子利用，成为入侵账户、窃取身份的“数字钥匙”。

被盗Cookie中藏着什么？

研究人员对 2025年4月23日至4月30日之间 Telegram 渠道泄露的数据进行了分析，发现这近940亿条 Cookie 中，15.6亿仍处于“活跃状态”，即攻击者无需密码，即可直接利用这些 Cookie 接管用户的在线会话。

其中，“ID”和“session”等关键词最为常见，分别出现在约180亿和12亿条 Cookie 中，显示出攻击者对会话维持信息的高度兴趣。这类数据一旦泄露，黑客就可能直接登录目标账户，绕过多重身份验证机制。

此外，部分 Cookie 中还包含了用户的姓名、邮箱、地理位置、甚至密码等敏感信息，为后续钓鱼攻击、账户盗取、身份冒用等行为提供了充足弹药。

这些 Cookie 是怎么被偷走的？

这些 Cookie 的来源多为全球主流服务平台。其中，Google 相关服务占据超过45亿条，而 YouTube 和 Microsoft 也各贡献了超10亿条。

报告指出，Redline 木马是最主要的窃取工具，仅其一项便窃取了约 42亿条 Cookie。此外，信息窃取型恶意软件、木马程序、键盘记录器等也频繁被用于盗取用户浏览器中的 Cookie 数据。

黑客还利用特制的脚本（如 installx.sh）篡改 Linux 系统的认证模块，嵌入恶意 pam_unix.so 文件，以捕获本地和远程登录的凭据。

甚至还有名为 “1” 的监控进程会实时监听被窃凭据（存储在隐藏的 con.txt 文件中），一旦发现新数据，就会上传至远程服务器，实现自动化数据窃取和转移。

如何保护自己的“数字碎屑”？

NordVPN 的网络安全专家 Adrianus Warmenhoven 警告说：“Cookie 本意是提升使用体验，但如今却成了黑客眼中通往隐私核心的‘钥匙’。用户必须提高警惕。”

为防止被盗，建议用户采取以下措施：

• 拒绝不必要的 Cookie 请求，尤其是来自第三方追踪器；

• 定期清理浏览器 Cookie 和缓存，缩短攻击者的可利用窗口；

• 使用安全工具，如防病毒软件、VPN（虚拟私人网络）等，增强防护；

• 警惕恶意网站与可疑下载，避免被植入窃密木马；

• 为重要账号启用双因素认证（2FA），即便 Cookie 被盗也能增加保护层级。