近日傳出全球超過1.8億組帳號與密碼遭竊,受影響者包括Gmail、Yahoo等主要電子郵件服務的使用者。資安專家提醒民眾應採取 三項防護措施因應,其中包括為不同線上帳號設定不同密碼,以降低個資遭竊風險。
《每日郵報》報導,近日有超過1.83億組密碼在一次資料外洩事件中遭竊。澳洲網路安全專家杭特(Troy Hunt)將這批資料形容為「龐大的外洩資料庫」,總量達3.5兆位元組(terabytes)。換算下來相當於約875部完整的高清電影。杭特表示,所有主要電子郵件服務供應商的帳號地址都在其中,不僅是Gmail,還包括Outlook、Yahoo等其他服務,但Gmail使用者佔了相當大比例。
杭特認為這次事件並非單一的資料外洩,而是由許多所謂的「竊取記錄檔(stealer logs)」組成。這些記錄檔是惡意軟體(malware)在感染使用者電腦後,自動蒐集並彙整出來的資料檔案,裡面可能包含帳號、密碼、Cookie、瀏覽紀錄等個資。
杭特解釋,竊取記錄檔就像一條不斷噴出資料的水管,持續四處洩漏個資。一旦被駭客取得,這些資料往往會在不同管道與平台間,不斷被複製、轉傳、擴散。具體來說,使用同一組密碼登入多個帳號的人,會讓自己暴露在更高的風險之下。
帳密外洩怎麼防?專家建議密碼這樣設
為了防止帳密外洩,什麼樣的密碼才夠安全?美國資安平台Synthient的布倫戴吉(Benjamin Brundage)認為通常要長達16個字元以上,並且混合使用大小寫英文字母、數字與符號。但他也強調「不要以為只要密碼強就絕對安全。強密碼確實是防禦的第一道防線,但惡意軟體仍有辦法竊取」。
電腦安全專家兼部落客克魯利(Graham Cluley)則提醒,一定要為不同的線上帳號使用不同密碼,並使用密碼管理工具進行管理。他也建議只要有多重驗證(multi-factor authentication, MFA)功能,就務必開啟,以獲得更高層級的安全保護。他也指出,這次事件不是某家公司被駭,而是數以百萬計的人,在不知情的情況下被惡意軟體竊走密碼。很多人可能已經受害,卻完全不知道自己的電腦早已被入侵。
Google發言人在聲明中則表示,這是針對多種網路活動進行的已知「資訊竊取型惡意軟體(infostealer malware)」,並非針對 Gmail的新型攻擊。他們已透過多層防護機制保護使用者,包括在偵測到帳密外洩時會自動重設密碼。他們也鼓勵用戶開啟兩步驟驗證(2-step verification),或改用通行金鑰(passkeys)這種更簡單、更安全的登入方式。






