全球20億筆信箱、13億筆密碼遭外洩 資安網站教1招檢查
近期,一名資安專家經營的網站收到了全球遭到外洩或竊取的資料,包含高達20億筆電子郵件地址及13億筆密碼。經專家證實資料真實可信,他已將這些資料放上網站,讓使用者可自行查詢是否受害,只要輸入電子郵件或密碼,就能立即知道自己的帳號是否外洩。
資安專家Troy Hunt揭外洩真相
根據PCWorld報導,資安專家特洛伊・亨特(Troy Hunt)經營的網站「Have I Been Pwned」(HIBP),近日收到來自多個惡意名單與網路資源的龐大資料,共包含20億筆電子郵件與13億筆密碼,這些資料由安全公司Synthient從多起外洩事件中整理而成。
亨特在部落格中表示,他親自驗證資料真實性時,輸入自己的名字,竟找到90年代使用過的舊信箱及部分真實密碼。他也邀請多位用戶進行測試,有人發現早已棄用的密碼,有人則驚見最近仍在使用的帳號資料。亨特指出,部分資料可追溯至數十年前,另一些則相當新,顯示外洩事件的時間跨度極廣。
「憑據填充攻擊」成駭客慣用手法
亨特提醒,駭客經常利用所謂的「撞庫/憑據填充攻擊」(Credential stuffing)手法,透過嘗試不同帳密組合入侵帳號。由於許多人長期不更改密碼,即使是老舊資料也可能被重複利用。若密碼過於簡單,例如「12345」、生日或姓名等,更容易被快速破解。
檢查密碼是否已外洩
目前,亨特已將這些密碼資料上傳至「Pwned Passwords」資料庫。使用者可直接前往HIBP網站輸入電子郵件或密碼檢查是否外洩,網站不會記錄任何個資。例如輸入「Fido123」後,若出現紅字,即代表該密碼曾在外洩事件中出現過數次,建議立即更換密碼;若顯示綠色,則表示該密碼目前尚未被發現外洩。
專家呼籲:使用密碼管理器、多重驗證更安全
亨特最後表示,這項資料驗證與整理工作極為繁重且成本高昂,他們已盡力確保資料完整與可查詢性,同時保護使用者隱私。他強調:「我們希望大家不要只關心資料是否外洩,更應該採取行動來保護帳號安全。」他建議民眾使用密碼管理器、設定強而唯一的密碼,或在可能的情況下使用「密碼金鑰」,並開啟多因素身份驗證(MFA),以降低遭駭風險。
FB留言