全球再爆嚴重資安災難,資安研究員 Jeremiah Fowler 日前揭露一個高達 96GB 的未加密資料庫遭公開曝光,內含多達 1.49 億筆用戶帳號與密碼,波及範圍涵蓋 Gmail、Facebook、Instagram、iCloud、Netflix、OnlyFans、金融機構及多個政府單位 .gov 帳號,此事件規模罕見,專家呼籲民眾應即刻更改密碼,避免帳戶遭駭入侵。
資料庫未加密全公開,數億用戶帳密裸奔網路
資安研究員 Jeremiah Fowler 表示,這份資料庫在公開時完全未加密,任何人只要取得網址連結就能瀏覽與搜尋全部內容,包括使用者電子郵件與帳號名稱、密碼和登入頁面或授權 API 的 URL,等同將數億用戶帳密赤裸裸地攤在網路上。
這些帳號資訊除了能讓駭客控制用戶社群帳戶、觀看紀錄、金融資產外,也可能被用於進一步的釣魚攻擊、冒名詐騙、身份盜用等惡意行為。
其中是 .gov 網域帳號的外洩更令人擔心,潛在風險不僅波及個資,還可能影響國家資安與政府內部系統運作。
更嚴重的是,Fowler 發現這些資料在曝光期間仍持續新增,顯示該資料庫可能與某種惡意軟體持續收集帳密有關。雖然該資料庫目前已離線,但外洩資料一旦被下載、複製或轉傳,就難以回收,受害風險仍持續存在。
從社群、娛樂到金融平台,受害範圍遍佈全球
根據 Fowler 整理的數據顯示,這次被外洩波及的服務橫跨社群媒體、影音平台、金融服務與成人網站,包含:
| 平台 | 約略外洩數量 |
|---|---|
| Gmail | 4,800 萬筆 |
| 1,700 萬筆 | |
| 650 萬筆 | |
| iCloud | 90 萬筆 |
| TikTok | 78 萬筆 |
| Netflix | 340 萬筆 |
| Disney+、HBO Max、Roblox 等娛樂平台 | 數百萬筆 |
| .gov / .edu 等機構帳號 | 140 萬筆 |
| OnlyFans、交友應用 | 十萬筆以上 |
| 金融、加密錢包與網銀帳號 | 未知但數量可觀 |
外洩資料庫非平台漏洞,疑為惡意瀏覽器外掛
值得注意的是,Fowler 推測這批資料並非單一平台資料外洩所致,此資料庫內容極可能來自某些具惡意功能的瀏覽器外掛程式,藉由鍵盤記錄器 (keylogger) 技術,長期潛伏在中毒裝置中,靜默蒐集使用者的帳號與密碼。
通常這類惡意程式可能透過瀏覽器外掛、釣魚網站或破解 App 滲透,許多使用者甚至完全不自知。
儘管他已在發現後立即通報雲端託管平台,並歷時一個月多次要求刪除,資料庫才終於下架,但在此期間其內容數量持續增加,外界仍難以確認是否已遭不法分子利用。
對於 Gmail 外洩紀錄最多的狀況,Google 方面回應強調,此資料庫可能是來自既有資料的整理與重複曝光,不代表出現新的大規模洩漏事件。但他們仍會持續監控並提醒用戶留意帳號異常。
資安防線自保:立即採取這幾項動作
面對這波大規模帳密外洩風險,資安研究員也提出以下五大安全防護呼籲用戶儘快採取以下行動保護自己:
- 立即更改主要帳戶密碼(如 Email、社群、金融)
- 替所有重要帳號開啟雙重驗證(2FA)
- 避免使用重複密碼
- 檢查是否安裝可疑瀏覽器擴充功能並移除
- 避免點擊來路不明的登入連結或郵件驗證碼要求
帳密外洩事件層出不窮,從 Facebook、LinkedIn、到這次的 96GB 大規模資料庫,再次提醒我們,密碼安全是一種日常自我保護行為,而非事後補救。在 AI 深度學習與社交工程越來越精密的時代,單靠密碼早已不足,雙重驗證與使用密碼管理工具已是基本生存法則。
想了解更多Apple資訊、iPhone教學和3C資訊技巧,歡迎追蹤 瘋先生FB粉絲團、 訂閱瘋先生Google新聞、 Telegram、 Instagram以及 訂閱瘋先生YouTube。