ithome
3.6億帳密資料驚傳外洩，駭客疑似利用竊資軟體取得，並透過Telegram頻道兜售
文/周峻佑 | 2024-06-04發表
資安專家Troy Hunt接獲通報，有人從Telegram頻道取得122 GB帳密資料，涉及逾3.6億個
電子郵件信箱，約有超過4成未曾被密碼外洩查詢網站Have I Been Pwned收錄
維護密碼外洩查詢網站Have I Been Pwned（HIBP）的資安專家Troy Hunt表示，一名不願
具名的研究人員從518個駭客兜售個資的Telegram頻道裡，抓取122 GB資料，當中包含
1,748個檔案、20億筆資料，經過整理，這些資料涉及3.61億個電子郵件帳號。
值得留意的是，上述資料有近半數（1.51億個）並未收錄於HIBP的資料庫，Troy Hunt檢
查後初步認為，這些電子郵件帳號應是有效資料，但他沒有測試密碼，並指出若是密碼無
效，很有可能只是現在的時間點已失去作用，不代表資料遭到洩露後是否有效。
而對於這些資料的內容，Troy Hunt指出，除了電子郵件，還包含了密碼，以及來源的網
站，一旦駭客取得，很有可能用於發動帳號填充（Credential Stuffing）攻擊。究竟賣
家如何取得這些資料？他認為極有可能是透過竊資軟體搜括而得。
為了驗證帳密資料的有效性，該名資安專家尋求部分HIBP用戶協助確認自己外洩的資料，
其中遭遇13起資料外洩事故影響的人士向他表示，相關帳號資料細節已在過往的事故流出
。另有遭遇7起事故的用戶也提出類似的發現，但Troy Hunt指出，這些事故僅有6起導致
密碼外流，包括：MyFitnessPal、8fit、FlexBooker、Jefit、MyHeritage、ShopBack。
也就是說，並非所有外流資料都能找到對應的資料外洩事故。Troy Hunt找到一筆疑似來
自竊資軟體事件記錄的檔案，這名德國受害者向他透露，這些資料應該是正確的，但在此
之前已有網路服務提供者通報帳號遭到入侵，該名受害者已更換密碼，並指出他在德國電
信設置的新密碼難以猜測，而這些帳密資料都存放於Firefox。
這名受害者進一步透露，自己在工作時使用Windows電腦，平常使用MacBook及iPhone，但
在大約一週前，所使用的Gmail帳號遭遇嚴重的垃圾郵件攻擊，而且有人以這個帳號訂購
昂貴的商品。
此外，也有使用密碼管理服務LastPass儲存相關資料的用戶，向Troy Hunt證實外洩資料
的有效性，並指出他近期已經更換了部分密碼。
甚至有14歲青少年用戶透露，這些他外流的帳號資料，密碼已經更換，但最近他接連收到
勒索郵件而感到困擾。
這樣的情況，證明這批帳密資料的影響範圍很廣，之所以外流，應該是有人利用竊資軟體
入侵使用者電腦取得。
https://www.ithome.com.tw/news/163293
備註:不要再說台灣資安很爛了
全世界都一樣爛