全球1.84億筆帳戶資料外洩!Facebook、Google、政府機關帳號全淪陷,駭客正虎視眈眈

近日,全球資安圈再次傳來驚人消息。資安研究員 Jeremiah Fowler 在網路上意外發現一組未加密的 公開線上資料庫,裡面竟然存放著超過 1.84億筆帳戶資料,資料規模之大,堪稱近年重大個資外洩事件之一。

更令人震驚的是,這些資料不僅涵蓋了 Facebook、Google、Apple 等主流平台帳戶,還包含來自全球 29 個國家政府單位的機關信箱。其中的帳號資料完整紀錄了使用者的 email、電話號碼以及明文密碼,甚至還標註了帳號所屬平台與登入網址,一旦遭有心人士利用,後果不堪設想。

事件簡介:1.84 億筆帳戶資料怎麼被發現的?

根據 Jeremiah Fowler 發佈於2025年5月22日的調查報告,這份資料庫容量達 47GB,可供任何人隨意存取、下載,且完全未加密、未設保護密碼

Fowler 在分析該資料庫時,發現資料涵蓋來自多個平台,包括但不限於 FacebookGoogleAppleInstagramMicrosoftNetflixPayPalDiscordRoblox等。

他隨機抽取其中的 10,000 筆帳號進行驗證,發現其中有 479 筆 Facebook 帳號、475 筆 Google 帳號、240 筆 Instagram 帳號、227 筆 Roblox 帳號、209 筆 Discord 帳號,以及超過 100 筆 Netflix、PayPal、Microsoft 等熱門平台帳號。最嚴重的是,資料中竟然還包含來自美國、澳洲、加拿大、中國、印度、以色列、沙烏地阿拉伯、英國等 29 個國家的政府機關信箱

Fowler 隨即通報該資料庫的託管服務商 World Host Group,對方也已立即將資料庫下線,但無法確認資料庫在下線前已開放多久,以及是否已遭其他人存取或下載。

資料外洩來源可能是 Infostealer 惡意軟體

Fowler 推測,這批帳號資料極可能來自近年猖獗的Infostealer 惡意軟體。這類病毒通常透過釣魚網站、惡意網頁或應用程式誘騙受害者安裝,潛伏於電腦或手機中,偷偷蒐集帳號密碼、瀏覽器紀錄、Cookie、電子錢包資料,甚至複製個人憑證,最後上傳至駭客設置的伺服器。

近年 Infostealer 家族如 Raccoon Stealer、RedLine Stealer、Vidar Stealer 橫行暗網,駭客將蒐集到的帳號資料打包販售,或製成資料庫供他人購買利用。

這波資料外洩可能帶來什麼風險?

當這些高敏感度的帳戶資料外流到暗網或駭客手中,將可能引發以下嚴重資安風險:

1. 精準釣魚攻擊

駭客可依據洩漏的 email 與帳號平台,精準寄送仿冒信件或簡訊,誘騙用戶點擊惡意連結,要求重新登入、重設密碼或提供更多個資。

2. 身分冒用詐騙

若駭客取得政府機關信箱或社群帳號,可冒名寄信、發文,散播詐騙資訊或惡意檔案,擴大受害範圍。

3. 金融帳戶盜用

資料庫中疑似包含金融帳戶相關資料,駭客可能盜取金融帳號,進行轉帳、盜刷等金融犯罪。

4. 社群帳號盜用

當駭客具有你的帳號密碼,而你正好沒有設定額外的登入驗證機制,那他們很可能會入侵你的 Facebook、Instagram、Discord 等社群帳號,並用來散佈詐騙連結、假投資廣告,或冒用身份騙取親友財物。

5. 憑證填充攻擊

憑證填充攻擊意指駭客透過你已外洩的帳號密碼,試圖使用同組帳號密碼登入各個機構或平台,萬一使用者在不同的平台間使用一樣的帳號和密碼,並且沒有開啟雙重因素驗證(2FA)或多因素驗證(MFA),則駭客可能一次盜取使用者大量的帳戶。

6. 社交工程攻擊

駭客可透過掌握受害者個資與歷史登入紀錄,假冒銀行客服、IT 技術支援,與你核對資料並進行電話或視訊詐騙。

面對個資外洩事件,個人與企業該怎麼做?

  1. 立即檢查帳號是否外洩
     建議可以透過 Have I Been Pwned 或 資安防護軟體內建的帳號安全檢查功能,確認 email 與帳號是否曾遭外洩,如果有外洩情形,盡快更改帳號密碼。

  2. 更新所有重要帳號密碼
     尤其是 email、銀行、支付與社群平台,建議密碼長度至少 12 碼,包含英文大小寫、數字與符號,並避免跨平台重複使用。

  3. 啟用多因素驗證(MFA)
     除了密碼外,加入FIDO 安全金鑰或多因素身分驗證,提高帳號安全性。根據美國網路安全暨基礎設施安全局(CISA)觀察指出,啟用多因素身分驗證可以預防 99% 的駭客攻擊。

     Keypasco 多因素身分認證解決方案,只有經過授權的使用者,能從綁定裝置、於指定位置和時間登入。該系統採用獨家專利的雙通道認證架構,登入與認證加密通道分離設計,能有效防堵中間人攻擊(MiTM)、瀏覽器中間人攻擊(MiTB)、釣魚詐騙與帳戶接管(ATO)。此外,用戶也能透過 NFC 裝置快速、安全地移轉認證設備,並透過 Keypasco 應用程式 APP 上完成「所見即所簽」簽署,提供更簡便且高效的驗證方式。相較傳統 SMS OTP,不僅安全性更高,也能有效降低成本。

  4. 定期監控帳戶異常行為
     隨時注意帳號的登入裝置和位置,確認是否有異常登入或是陌生裝置登入紀錄,若有疑慮應即刻變更密碼與登出所有裝置。

  5. 企業加強員工資安意識培訓
     定期對員工進行資安培訓,提高對釣魚郵件和社交工程攻擊的警覺性,防止因人為疏忽導致資安事件。

  6. 企業實施零信任架構(Zero Trust Network Access)
    不預設任何人或設備的信任,所有存取請求都需驗證,並實施最小權限原則,限制用戶存取權限,並且持續監控用戶的行為模式,一旦有異常立即登出。

    「Keypasco ZTNA」是一款基於零信任架構的資安解決方案,該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構,通過國家資通安全研究院驗證,透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。

    • 身分鑑別: 提供多因素身分驗證,及FIDO U2F、FIDO2解決方案。
    • 裝置鑑別: 掃描設備特徵與軟體訊息,並儲存於Keypasco伺服器進行設備認證。
    • 信任推斷: 透過人工智慧分析行為,持續評估風險並觸發新的驗證。

     

Keypasco 符合各國法規與實務需求,目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業,我們將持續協助企業強化資安合規能力,滿足各種場域的需求。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *