资安研究员 Jeremiah Fowler 近日发现,一个未设防护的公开资料库暴露了约 1.49 亿条用户帐号与密码组合,总资料量高达 96GB,涵盖 Gmail、Facebook、Instagram、Netflix、Outlook、iCloud、银行帐号、政府服务、约会平台及 Roblox 等主流服务。此事件迅速引起全球网路安全社群高度关注,也再次提醒,使用者端资安防护的重要性。
资料库内容详情
该资料库未设密码或加密保护,任何人皆可直接存取与搜寻,被资安专家形容为犯罪者的「梦幻愿望清单」。其中,约 42 万条凭证与加密货币交易所 Binance(币安)相关,引起部分用户对资产安全的担忧。其他外泄帐密来自 Gmail(约 4,800 万条)、Facebook(约 1,700 万条)及多个日常生活与金融相关服务,涵盖范围广泛。
资安专家指出,这起事件并非交易所系统遭入侵,而是透过 Infostealer 类恶意软体,从使用者个人装置(电脑、手机)窃取资料后汇整而成。这类软体常伪装成游戏外挂、破解版软体或免费工具,用户若不慎下载或点击,即可能被窃取浏览器储存的密码、Cookie、自动填表资料等,最终形成大型凭证资料集。
资安专家强调,此类事件的主要风险在于凭证填充攻击(credential stuffing):骇客利用已外泄的帐密尝试登入其他平台,尤其是当用户在多个网站重复使用相同帐号密码时,极易造成连锁帐号被盗。
币安官方建议与防护措施
针对外泄事件,币安表示平台系统无漏洞,目前正监控暗网相关活动,并会主动通知受影响用户协助重设密码。币安以及安全专家强烈建议用户采取以下措施:
- 启用硬体安全金钥或验证器 App 的多因素认证(MFA/2FA),优先选择硬体认证而非简讯验证
- 使用密码管理器产生并储存唯一强密码
- 安装可靠的反恶意软体并定期进行全盘扫描
- 避免下载不明软体或点击可疑连结
此次 1.49 亿条帐密外泄事件,再次凸显了使用者端资安防护的重要性。专家建议,除了强化密码管理与多因素验证外,日常操作中提高警觉、避免下载不明软体或点击可疑连结,是保护个人帐号与数位资产最直接有效的措施。
