Telegram都在傳！20億筆電子郵件、密碼外洩…專家教你3秒檢查是否被駭

全球資安網站「Have I Been Pwned」（HIBP）創辦人亨特（Troy Hunt）近日收到一批規模龐大的外洩資料，內含20億筆電子郵件、13億筆密碼，這批資料源自多個惡意清單與網路來源，甚至可在Telegram群組自由取得，消息曝光後頓時引發全球關注。亨特也呼籲所有網路使用者務必定期檢查帳號安全，避免因長期重複使用密碼而成為下一個被駭對象。

根據外媒PCWorld報導，這批外洩資料最初由資安公司「Synthient」整理彙總而成，該公司長期追蹤全球多起資料外洩事件，將不同來源的帳號密碼資料進行整合、比對與去重。亨特收到資料後，立即展開驗證工作，最終確認外洩的帳號密碼大多是透過資訊竊取惡意軟體「Infostealer」竊得，甚至可在駭客論壇、Telegram群組上免費取得。

為了確認外洩資料的真實性，亨特還以自己的資料進行測試，他先是輸入自己的名字，結果真的在資料庫中找到了一個他在1990年代曾經使用過的電子郵件，系統還顯示與該信箱關聯的多組密碼，而這其中確實有一組是他本人當年使用過的密碼。亨特再聯絡幾位訂閱他電子報的使用者請求協助，結果有些使用者發現了早已棄用的舊密碼，更有者發現目前仍在使用的帳號密碼也出現在名單中。

亨特指出，駭客往往會利用這類外洩資料進行所謂的 「憑證填充攻擊」（Credential Stuffing），即會反覆嘗試不同帳號密碼組合，由於許多使用者長期不更換密碼，或是習慣使用簡單密碼，如「12345」、生日、寵物名或人名等，極其容易成為駭客攻擊目標，因為這樣的習慣恐讓駭客即使是以多年前的資料嘗試也可能奏效。

如何確認帳號密碼是否外洩？

為了協助大眾確認自身密碼是否外洩，亨特將這批資料中的密碼上傳至 「Pwned Passwords」資料庫，讓使用者輸入任意密碼，查詢其是否曾被破解或出現在外洩清單中。亨特強調，這些密碼資料只包含字串本身，不會與任何電子郵件地址綁定，查詢目的單純只是為了確認密碼安全性。

亨特舉例說明，假設查詢密碼「Fido123!」的結果為「已外洩」，則這組密碼無論是否與帳號、電子郵件綁定都已不重要，因為這樣的密碼已經不安全，應該立即更換。亨特建議，無論是主要信箱或臨時帳號，使用者都應定期檢查：「你永遠無法確定誰可能已經掌握了你的資料，主動檢查與更新，是維護網路安全的唯一方法。」