Telegram都在傳!20億筆電子郵件、密碼外洩…專家教你3秒檢查是否被駭
全球資安網站「Have I Been Pwned」(HIBP)創辦人亨特(Troy Hunt)近日收到一批規模龐大的外洩資料,內含20億筆電子郵件、13億筆密碼,這批資料源自多個惡意清單與網路來源,甚至可在Telegram群組自由取得,消息曝光後頓時引發全球關注。亨特也呼籲所有網路使用者務必定期檢查帳號安全,避免因長期重複使用密碼而成為下一個被駭對象。
根據外媒PCWorld報導,這批外洩資料最初由資安公司「Synthient」整理彙總而成,該公司長期追蹤全球多起資料外洩事件,將不同來源的帳號密碼資料進行整合、比對與去重。亨特收到資料後,立即展開驗證工作,最終確認外洩的帳號密碼大多是透過資訊竊取惡意軟體「Infostealer」竊得,甚至可在駭客論壇、Telegram群組上免費取得。
為了確認外洩資料的真實性,亨特還以自己的資料進行測試,他先是輸入自己的名字,結果真的在資料庫中找到了一個他在1990年代曾經使用過的電子郵件,系統還顯示與該信箱關聯的多組密碼,而這其中確實有一組是他本人當年使用過的密碼。亨特再聯絡幾位訂閱他電子報的使用者請求協助,結果有些使用者發現了早已棄用的舊密碼,更有者發現目前仍在使用的帳號密碼也出現在名單中。
亨特指出,駭客往往會利用這類外洩資料進行所謂的 「憑證填充攻擊」(Credential Stuffing),即會反覆嘗試不同帳號密碼組合,由於許多使用者長期不更換密碼,或是習慣使用簡單密碼,如「12345」、生日、寵物名或人名等,極其容易成為駭客攻擊目標,因為這樣的習慣恐讓駭客即使是以多年前的資料嘗試也可能奏效。
如何確認帳號密碼是否外洩?
為了協助大眾確認自身密碼是否外洩,亨特將這批資料中的密碼上傳至 「Pwned Passwords」資料庫,讓使用者輸入任意密碼,查詢其是否曾被破解或出現在外洩清單中。亨特強調,這些密碼資料只包含字串本身,不會與任何電子郵件地址綁定,查詢目的單純只是為了確認密碼安全性。
亨特舉例說明,假設查詢密碼「Fido123!」的結果為「已外洩」,則這組密碼無論是否與帳號、電子郵件綁定都已不重要,因為這樣的密碼已經不安全,應該立即更換。亨特建議,無論是主要信箱或臨時帳號,使用者都應定期檢查:「你永遠無法確定誰可能已經掌握了你的資料,主動檢查與更新,是維護網路安全的唯一方法。」
更多鏡報報導
連2年賣170台保時捷!銷冠「黑絲OL裝不雅片」瘋傳…個資遭外洩騷擾:影片很刺激
前情色女優「父子丼」與公公生2孩又嫁兒子 再把公公斬首毀屍