趕緊換密碼!資安研究人員在本週揭露了一場龐大的資料外洩,導致超過1億8300萬個電子郵件密碼流竄暗網,其中包含數千萬個 Gmail(Alphabet Inc.)帳戶的密碼。此資料庫於2025年10月21日被「Have I Been Pwned」網站公開,是迄今發現最龐大的憑證外洩之一。
Google 強烈反駁此事件被稱為 Gmail 遭駭的說法,官方在社交媒體上表示:「有關 ‘Gmail 安全漏洞影響數百萬用戶’ 的報導不實。」該公司指出,受影響的帳戶源自使用者設備感染惡意軟體,而非 Gmail 伺服器的安全漏洞。
這批洩露數據來自資安公司 Synthient 對資訊竊取惡意軟體(infostealer)活動近一年的監控,研究團隊追蹤地下社群中透過 Telegram、社交平台與暗網論壇流通的憑證資料。Have I Been Pwned 創辦人 Troy Hunt 表示,此資料庫包含 3.5 TB、230億筆記錄。
Hunt 證實,部分憑證屬真實有效資訊,一名用戶確認洩漏資料正是其 Gmail 密碼。資料集包括網站 URL、電子郵件地址及密碼。雖然91%的密碼曾在其他資料外洩中出現,但約有1640萬個電子郵件地址從未在任何先前的外洩事件中曝光。專家警告,活躍密碼的存在使憑證填充攻擊風險劇增。
資訊竊取惡意軟體威脅持續攀升
資安研究指出,2025上半年被竊取憑證的數量大幅增加達800%。此類惡意軟體在使用者設備悄無聲息地運行,竊取登入資訊、瀏覽器數據和會話憑證。
Synthient 研究員 Benjamin Brundage 提到,在高峰期單日偷取的憑證數量達6億。主要傳播途徑包括釣魚郵件、惡意軟體下載和被攻陷的瀏覽器擴充功能,使用者通常未察覺裝置已中毒。
Google 建議用戶啟用雙重認證 (2FA) 與使用 Passkeys 作為取代傳統密碼的更安全方式。用戶可前往「Have I Been Pwned」網站查詢是否被外洩影響,若有資料被破解,應立即更改密碼並啟用多因素身份驗證。