駭客夢幻寶庫,蘋果、Google、Meta 登入憑證外洩於未加密資料庫
蘋果登入憑證被發現在一個包含 1.84 億筆紀錄的龐大資料庫中,該資料庫未受任何保護,暴露在一個網頁伺服器上。其他登入資訊還包括 Facebook、Google、Instagram、微軟和 PayPal 等服務。這個資料庫的擁有者身分尚不明朗,但發現該資料的資安研究人員 Jeremiah Fowler 表示,這份資料簡直是「網路犯罪分子的夢幻工作名單」。
Jeremiah Fowler 表示,該資料庫本身毫無防護措施,只是簡單地放在一個網頁主機伺服器上。其中包含了多個政府入口網站、銀行及其他金融服務公司的登入資料。
這個公開暴露的資料庫未設密碼保護,也未經加密,它包含 184,162,718 組獨特的登入帳號與密碼,總容量高達 47.42 GB 的原始憑證資料。
在對部分曝光文件的有限抽樣中,研究人員看到數以千計的檔案,當中包含電子郵件、使用者名稱、密碼,以及對應帳戶登入或授權的 URL 連結。該資料庫涵蓋了多種服務、應用程式與帳號的登入與密碼憑證等。
甚至也可看到多國銀行與金融帳戶、健康平台以及政府入口網站的登入憑證,可能對個資外洩者造成嚴重風險。
這份憑證名單中包括了 Apple ID,這份資料庫規模極大,以致於 Fowler 尚未能確認其涵蓋的所有服務,但目前已確認包括:
Apple
Amazon
Discord
Facebook
Google
Instagram
Microsoft
PayPal
Snapchat
Twitter
WordPress
Yahoo
Fowler 透過電子郵件聯繫部分資料中所列之人士,並確認密碼屬實,藉此驗證個資真實性。他已通報該網頁主機服務商,對方雖已限制存取,但未願透露該帳戶擁有者的資訊。
Fowler 認為這些資料可能來自「資訊竊取器」(infostealers),這是一種專門用於從設備中挖掘個人資訊的惡意軟體。
這些紀錄展現出多項跡象,顯示其來自某種類型的資訊竊取惡意軟體,此類惡意程式通常會鎖定儲存在網頁瀏覽器、電子郵件客戶端和通訊軟體中的憑證(如使用者名稱與密碼)。某些變種還能竊取自動填入的資料、cookies、加密貨幣錢包資訊,甚至擷取螢幕截圖或記錄鍵盤輸入。
部署資訊竊取程式的常見手法包括釣魚郵件與盜版軟體。其中一項特別的危險是,網路犯罪分子可能利用釣魚攻擊來入侵電子郵件帳戶,例如 Gmail。這類帳戶對犯罪者而言可謂資料寶庫。
許多人不自覺地將電子郵件帳戶當成免費雲端儲存空間,長期保留稅務文件、醫療紀錄、合約與密碼等敏感資訊,卻未意識其敏感性。若犯罪者取得數千甚至數百萬筆這類電子郵件帳戶,可能帶來重大的資安與隱私風險。
從資安角度來看,強烈建議大家了解自己的電子郵件帳戶中儲存了哪些敏感資訊,並定期刪除含有個人識別資訊(PII)、財務文件或其他重要檔案的舊郵件。
Fowler 表示,做為一名倫理研究者,他並未下載該資料庫,而是以截圖方式取樣,僅用於聯繫受害者以確認細節。
(首圖來源:Flickr/Automobile Italia CC BY 2.0)