資安研究員 Jeremiah Fowler 近日發現,一個未設防護的公開資料庫暴露了約 1.49 億條用戶帳號與密碼組合,總資料量高達 96GB,涵蓋 Gmail、Facebook、Instagram、Netflix、Outlook、iCloud、銀行帳號、政府服務、約會平台及 Roblox 等主流服務。此事件迅速引起全球網路安全社群高度關注,也再次提醒,使用者端資安防護的重要性。
資料庫內容詳情
該資料庫未設密碼或加密保護,任何人皆可直接存取與搜尋,被資安專家形容為犯罪者的「夢幻願望清單」。其中,約 42 萬條憑證與加密貨幣交易所 Binance(幣安)相關,引起部分用戶對資產安全的擔憂。其他外洩帳密來自 Gmail(約 4,800 萬條)、Facebook(約 1,700 萬條)及多個日常生活與金融相關服務,涵蓋範圍廣泛。
資安專家指出,這起事件並非交易所系統遭入侵,而是透過 Infostealer 類惡意軟體,從使用者個人裝置(電腦、手機)竊取資料後彙整而成。這類軟體常偽裝成遊戲外掛、破解版軟體或免費工具,用戶若不慎下載或點擊,即可能被竊取瀏覽器儲存的密碼、Cookie、自動填表資料等,最終形成大型憑證資料集。
資安專家強調,此類事件的主要風險在於憑證填充攻擊(credential stuffing):駭客利用已外洩的帳密嘗試登入其他平台,尤其是當用戶在多個網站重複使用相同帳號密碼時,極易造成連鎖帳號被盜。
幣安官方建議與防護措施
針對外洩事件,幣安表示平台系統無漏洞,目前正監控暗網相關活動,並會主動通知受影響用戶協助重設密碼。幣安以及安全專家強烈建議用戶採取以下措施:
- 啟用硬體安全金鑰或驗證器 App 的多因素認證(MFA/2FA),優先選擇硬體認證而非簡訊驗證
- 使用密碼管理器產生並儲存唯一強密碼
- 安裝可靠的反惡意軟體並定期進行全盤掃描
- 避免下載不明軟體或點擊可疑連結
此次 1.49 億條帳密外洩事件,再次凸顯了使用者端資安防護的重要性。專家建議,除了強化密碼管理與多因素驗證外,日常操作中提高警覺、避免下載不明軟體或點擊可疑連結,是保護個人帳號與數位資產最直接有效的措施。
