20億電子郵件、13億密碼外洩!資安專家警告:舊資料仍可致命
全球資安社群傳出重磅消息!知名外洩檢測網站「Have I Been Pwned?」(HIBP,即「我被駭了嗎?」)創辦人資安專家杭特(Troy Hunt),近日收到1份規模龐大的外洩資料庫,內含超過20億筆獨立電子郵件地址與13億個獨立密碼。
據《PC World》報導,這批資料並非來自單一駭客事件,而是由資安公司「Synthient」長期從各種外洩來源匯總而成的整合資料集。過去,Synthient也曾提供過1.83億筆外洩郵件地址資料給HIBP進行安全分析。此次更新的資料量更為驚人,顯示資訊竊取活動的規模與深度仍在不斷擴大。
杭特在他的部落格中解釋,這批資料主要來自「網銀大盜」(Infostealer)類型的惡意軟體。這類惡意程式會在中毒電腦上自動竊取使用者的帳密,再被駭客散布於網路暗處或透過Telegram群組交換流通。Synthient收集這些外洩紀錄後,去除重複項目,留下唯一的帳號密碼組合,以利進行比對與研究。
杭特指出,這些資料有部分可在網路上自由取得,也有部分透過駭客社群流通。任何人都可以透過HIBP網站輸入自己的電子郵件地址,以檢查帳號是否遭到洩漏。
為確保資料真實性,杭特親自驗證多筆資料。他首先搜尋自己的名字,結果發現1個來自1990年代、早已棄用的電子郵件地址。更令人驚訝的是,他還找到數個與該信箱相關的密碼,其中有1組的確曾屬於他本人。
之後,他邀請多位訂閱他郵件清單的讀者進行測試。結果顯示,有人找到多年前已失效的密碼,也有人發現仍在使用的登入憑證。換言之,這批外洩資料橫跨數十年,既包含舊資料,也有近期的新紀錄。
杭特強調,即便資料年代久遠,也不代表已無風險。駭客經常使用1種名為「撞庫」(Credential Stuffing,又稱「憑據填充」)的攻擊手法,利用過去外洩的帳號密碼組合嘗試登入其他網站。由於許多使用者多年不改密碼,舊資料往往仍能奏效。
此外,簡單或可預測的密碼(例如「12345」、生日或寵物名字)更容易被快速破解,「只要使用者懶得更換密碼,駭客就永遠有機可乘。」
杭特已將這13億筆密碼匯入他的「被駭密碼」(Pwned Passwords)資料庫,供大眾檢查特定密碼是否曾被破解。這個資料庫並不包含電子郵件地址,只專注於密碼本身的安全性。
他舉例說:「假設你曾使用密碼『Fido123!』,若它已被揭露,不論是與你的信箱相關,還是他人的帳號被外洩,這個密碼都已不安全。因為這類密碼遵循可預測的規則,例如寵物名加上數字或符號,駭客能輕易破解。」
杭特補充,即使發現某個強密碼出現在資料庫中,也可視為它確實被外洩過的證據,因此應立即停用並更換,「無論是哪種情況,這個密碼都不該再出現在任何帳號上。」
杭特最後也提醒,用戶應定期檢查自己的電子郵件與密碼,無論是主要帳號還是1次性信箱,「你永遠不知道誰可能握有你的資料」,而資訊安全的防線往往取決於個人有無警覺。