維護密碼外洩查詢網站Have I Been Pwned(HIBP)的資安專家Troy Hunt表示,一名不願具名的研究人員從518個駭客兜售個資的Telegram頻道裡,抓取122 GB資料,當中包含1,748個檔案、20億筆資料,經過整理,這些資料涉及3.61億個電子郵件帳號

值得留意的是,上述資料有近半數(1.51億個)並未收錄於HIBP的資料庫,Troy Hunt檢查後初步認為,這些電子郵件帳號應是有效資料,但他沒有測試密碼,並指出若是密碼無效,很有可能只是現在的時間點已失去作用,不代表資料遭到洩露後是否有效。

而對於這些資料的內容,Troy Hunt指出,除了電子郵件,還包含了密碼,以及來源的網站,一旦駭客取得,很有可能用於發動帳號填充(Credential Stuffing)攻擊。究竟賣家如何取得這些資料?他認為極有可能是透過竊資軟體搜括而得。

為了驗證帳密資料的有效性,該名資安專家尋求部分HIBP用戶協助確認自己外洩的資料,其中遭遇13起資料外洩事故影響的人士向他表示,相關帳號資料細節已在過往的事故流出。另有遭遇7起事故的用戶也提出類似的發現,但Troy Hunt指出,這些事故僅有6起導致密碼外流,包括:MyFitnessPal、8fit、FlexBooker、Jefit、MyHeritage、ShopBack。

也就是說,並非所有外流資料都能找到對應的資料外洩事故。Troy Hunt找到一筆疑似來自竊資軟體事件記錄的檔案,這名德國受害者向他透露,這些資料應該是正確的,但在此之前已有網路服務提供者通報帳號遭到入侵,該名受害者已更換密碼,並指出他在德國電信設置的新密碼難以猜測,而這些帳密資料都存放於Firefox。

這名受害者進一步透露,自己在工作時使用Windows電腦,平常使用MacBook及iPhone,但在大約一週前,所使用的Gmail帳號遭遇嚴重的垃圾郵件攻擊,而且有人以這個帳號訂購昂貴的商品。

此外,也有使用密碼管理服務LastPass儲存相關資料的用戶,向Troy Hunt證實外洩資料的有效性,並指出他近期已經更換了部分密碼。

甚至有14歲青少年用戶透露,這些他外流的帳號資料,密碼已經更換,但最近他接連收到勒索郵件而感到困擾。

這樣的情況,證明這批帳密資料的影響範圍很廣,之所以外流,應該是有人利用竊資軟體入侵使用者電腦取得。

熱門新聞

Advertisement