根据web安全公司Trustwave发布的最新报告，过去数月，黑客通过Pony恶意软件在全球范围内窃取了超过200万个社交账户密码，受害者包括Google、Yahoo、Twitter、Facebook和LinkedIn的用户。

根据Trustwave的报告，此次黑客窃取大型社交网站用户账户信息的方式与过去有所不同，不是直接攻击网站系统，而是通过恶意软件直接从用户被感染的计算设备中窃取用户名密码，或者在用户登录web服务的时候进行截获。

虽然目前此次大规模社交账户盗窃事件的幕后黑手尚未现身，但是Trustwave在博客中指出病毒可能来自两个俄语社交网站vk.com和odnoklassniki.ru。

黑客用来盗窃密码的恶意软件被设置成将账户信息发送到荷兰的一个服务器上，该服务器并不显示信息来自哪个国家，因此Trustwave尚无法提供失窃账户的国家分布数据，但可以明确的是黑客攻击的目标是全世界的社交网站用户，包括美国、德国、新加坡、泰国等。

黑客目前并未公布此次攻击获得的用户账户密码，Trustwave是在扫描一个Pony僵尸网络的命令控制服务器时发现的这些账户密码。

根据Trustwave提供的数据，失窃的账户中，Facebook占到57%，其余依次是Yahoo（10%）、Google（9%）和Twitter（3%）。

Facebook发言人表示已经开始联系账户资料失窃的用户，要求他们重置密码。

Trustwave还发现，大多数失窃的账户密码都很弱，如果把超过四种字符类型（数字、字母、大小写、符号）且长度超过8位的密码称为优秀，而使用单一字符类型而且长度不超过四位的密码称为糟糕，那么不幸的是，糟糕的密码数量上远远超过优秀的密码。（下图）

社交网站用户最喜爱的十大密码：

数据来源：trustwave