密碼管理工具
」 密碼 Google
160億筆帳密外洩「蘋果、META、Google全中招」 有兩階段驗證也沒用「Cookies也外流」
近期爆發一起有史以來規模最大的帳密外洩事件,總計高達160億組帳號密碼在網路上曝光,牽涉範圍涵蓋Apple、Google、Facebook、Telegram、GitHub與多項政府與企業服務。根據《Cybernews》研究,這些資料並非舊資料回鍋,而是來自近期的資訊竊取行動,且絕大多數是被惡意軟體所擷取。根據《Cybernews》報導指出,這些紀錄分散在30個不同的資料庫,單一資料庫內最多包含35億筆資料,平均每筆資料集則約有5.5億筆。即使部分資訊重複,整體數量仍具驚人規模。研究團隊發現,這些資料庫結構清晰,常以網址搭配帳號密碼呈現,許多還附加Cookies、Session權杖與自動填入的瀏覽器中繼資料,能讓攻擊者直接繞過兩階段驗證(2FA)系統,入侵用戶帳號。《Cybernews》資安研究員迪亞琴科(Bob Diachenko)強調,這不僅是一場單純的資料外洩,而是一份「攻擊指南」,足以為釣魚詐騙、勒索軟體與企業郵件詐騙(BEC)行動提供「彈藥」。迪亞琴科表示,目前尚未出現證據顯示Apple、Facebook或Google本身發生過集中式資料外洩,但用戶憑證中已明確出現指向這些平台的登入網址,這意味著,帳號資訊可能是在用戶端被盜取。研究也發現部分資料庫的命名可能顯示潛在來源,例如一筆含4.55億筆紀錄的資料庫,其顯示來自俄羅斯聯邦(Russian Federation),另有一筆6000萬筆資料的集合則命名為Telegram。規模最大的資料庫紀錄超過35億筆,似乎與葡萄牙語族群有關。資安研究人員強調,這些包含Cookies與Session資料的憑證外洩事件,對未啟用雙重驗證或未定期清理登入資訊的用戶與組織構成極大風險。因為Cookies與Session資料可讓攻擊者無需輸入密碼和一次性驗證碼,即可模擬合法用戶登入,尤其對許多未自動清除登入狀態的系統來說,幾乎毫無防禦能力。回顧過去幾起重大資料外洩事件,這次160億筆資料的洩漏與2024年被稱為「所有外洩之母(Mother of All Breaches,MOAB)」的260億筆紀錄相互呼應。當年還曾出現名為「RockYou2024」的外洩包,內容包含近百億筆獨立密碼。此外,日前也發生中國用戶資料大量外洩的事件,影響涵蓋微信(WeChat)、支付寶(Alipay)與個資金融紀錄。面對龐大資料外洩風險,研究人員建議使用者務必啟用多重驗證(MFA)、定期更換密碼、避免重複使用舊密碼,並善用密碼管理工具建立獨特密碼組合。若有系統支援登入紀錄與安全警示,也應啟用監控功能,第一時間辨識異常行為。報導中指出,許多駭客是藉由使用資訊竊取工具來完成資料蒐集。這些惡意程式常藉由盜版軟體、受感染的PDF、遊戲模組等形式植入用戶裝置,一旦入侵成功,便能持續擷取憑證、Cookies、瀏覽紀錄、文件與內部工具資訊,最終在暗網販售或彙整為資料集用於後續攻擊。研究團隊警告,駭客甚至無須百分之一的成功率,只要憑藉這類大規模資料集中微小的命中率,便足以開啟數百萬筆帳號的大門。
資安研究團隊曝自年初已有160億筆帳密外洩 蘋果、Google、臉書都遭殃
資安研究團隊Cybernews近日透露1則令人擔憂的消息,自2025年初以來,全球共有高達160億筆帳號密碼外洩,其中包括蘋果、Google、臉書等,甚至連政府入口網站都無法倖免。對此專家也建議,民眾除了立即更換帳號密碼外,也要避免在不同平台使用重複的密碼,來路不明的訊息與信件連結,也勿隨意點擊,以免造成重要資料外洩。根據外媒報導,資安研究團隊Cybernews從2025年初開始監控網路環境,至今發現30組外洩資料集,每組包含數千萬到35億筆帳號密碼,總計高達160億筆資料外洩,與先前遭駭客攻擊後外洩的資料不同,資安研究團隊警告,這些外洩的帳號密碼「是全新的、可大規模武器化的情報。」Cybernews指出,這些外洩的帳密包含蘋果、臉書、Google,甚至是政府單位的入口網站,這些帳密多半來自資訊竊取型惡意程式,其中最大的1組資料,疑似來自葡語地區,用戶數量十分驚人。Desired Effect執行長、前美國國家安全局網路安全專家伊凡(Evan Dornbush)指出「無論你的密碼有多長多複雜,只要駭客攻破儲存密碼的資料庫,他們就能掌握密碼。」Approov副總裁喬治(George McGregor)也將這種大規模資料外洩形容成第1張多米諾骨牌「將引發一系列潛在的網路攻擊」。同時資安專家也建議一般民眾立即採取行動,更換重要帳號的密碼,除了設定為高強度密碼外,也應避免在不同平台使用重複的密碼;此外,資安專家也建議民眾使用密碼管理工具並開啟雙重驗證,切勿忽視網路釣魚的不明訊息與連結,並定期檢查電腦與手機是否感染惡意程式。
信用卡詐騙猖獗!63%美國持卡人曾受害 3常見壞習慣增風險
信用卡是常見的電子支付方式,雖增添民眾日常生活的便利性,但盜刷事件往往讓人防不勝防。據網站「Security.org」的最新調查顯示,63%的美國信用卡持卡人曾遭遇詐騙,其中超過一半並非首度受害。根據統計,未經授權的交易每年造成超過62億美元(約新台幣2042億元)的損失。也許民眾認為,在數位時代個資外洩難以避免,但「Security.org」資深研究編輯科里(Corie Colliton)強調,只需簡單的日常網路安全習慣,就能有效降低信用卡被盜用的風險。她指出,多達84%的持卡人會做出讓信用卡資訊暴露在風險中的行為,特別列出3個常見壞習慣,以及相對應的安全須知。1.密碼習慣不佳保護信用卡資訊並不只是避免用「Pass1234!」此類強度弱的密碼,更重要的是每個帳戶都使用獨一無二、強度高的密碼。科里指出,雖然這個道理看似是常識,但仍有48%的美國人習慣在不同網站重複使用相同密碼。建議使用密碼管理工具,產生複雜且唯一的密碼,減少多個帳號同時被盜用的風險。當然,密碼管理器本身也需設定一組難以破解又不會被遺忘的密碼,且不能與其他地方重複使用。2.線上購物習慣鬆散調查顯示,約有40%美國人會在公共Wi-Fi環境下購物,或將信用卡資訊儲存在網站或瀏覽器中,都是潛在風險。科里提醒,公共場域Wi-Fi傳輸的資訊很容易被攔截,因此絕對不要在此環境下進行線上交易。此外,若他人能存取裝置,儲存的信用卡資料可能被輕易盜用。她建議,如果想兼顧便利與安全,不妨改用加密更強的數位錢包(例如Apple Pay、Google Pay)付款,比使用實體卡片更安全。3.疏於查看帳單科里強調,就算無法立刻改變網路使用習慣,定期檢查信用卡帳單至少是最基本的防詐行為。她也曾因仔細查看帳單發現詐騙,「是一筆在離我家幾英里外加油站的消費明細,看起來不容易察覺,但還是讓我發現端倪。」若發現可疑交易,應立即通知發卡銀行處理,以便退款、凍結帳號並換發新卡,同時建議檢查個人信用報告,避免詐騙者另開帳戶。最後,科里總結,「花5分鐘檢視自己的財務資訊,是一種良好的習慣,也能幫你避免因信用卡詐騙而損失鉅額金錢。」
使用相同帳號密碼危險多 資安專家:可用Chrome一套小工具來幫你
隨著網際網路的普及,帳號密碼可以說是已經上升到與人們生活息息相關,各種大小事情都需要使用帳號密碼。但先前就有多名資安專家提醒,民眾的帳號密碼如果使用同一套,在資訊安全上很容易造成風險,建議每個帳號都搭配不同的密碼,現在就有網路專家表示,其實可以透過Google的瀏覽器Chrome內建的小功能,就可以成功的解決密碼記憶的問題。根據《太陽報》報導指出,軟體開發公司Verimatrix旗下安全與威脅研究部門的高階副總裁沙奇克(Klaus Schenk)表示,用戶會習慣在每個服務、網站上使用相同的帳號密碼進行記憶,此舉雖然方便,但實際上在資安方面風險很大,因為只要有一個網站的帳密外洩,這就形同駭客取得了使用者全部的帳號密碼,如此一來,影響之大是難以想像的。沙奇克解釋,由於被洩漏在暗網上的數據資料日益增加,使用者如果依賴相同密碼套用在多個網路服務上的話,其實是個非常危險的行為,因為只要有一個服務的密碼遭到洩漏的話,就可以讓駭客透過相同的密碼直接進入,或是推測你其餘帳號可以入侵的機會。沙奇克也表示,所以在這樣的情況下,使用不同的密碼來搭配不同的服務,就是一件十分重要的事情。但他也清楚,如今網路服務之多,使用者不可能有足夠的腦袋去記憶不同的密碼。因此他推薦使用Google瀏覽器Chrome的小工具「密碼管理工具」。一方面它可以幫使用者去驗證「自己所使用的網路服務是否有遇到資料外洩」,二方面這個小工具能夠協助使用者自動生成高強度的密碼,使用者只需要保護好Google的帳號,屆時要使用任何網路服務,只需要使用Google密碼管理工具幫忙輸入即可,此舉不僅簡單,而且還提高了帳號的安全性。