較早前外媒記找發現160個登入帳號和密碼資料存放在公共網域,數量等於全球人口的兩部,儘管沒有透露用戶登入憑證的詳情,但更改密碼是最安全的做應對方法。
洩露了甚麼資料?
有關的外國傳媒自今年初開始對進行有關主題的研究,在6個月內成功收集了30個不安全的資料集,洩露160億個登入憑證,最大的資料塊收錄了35億個記錄,涉及全球的葡萄牙語人口,其次是4億5500萬個俄羅斯帳號,還有6000萬個懷疑與Telegram有關。資料庫基於網址、登入名稱和密碼這個基礎構成,除此之外沒有其他資料,據稱所有服務巨頭的用戶資料都邁外洩,Apple、Google、Facebook、Telegram、GitHub等都包括在內,令人驚訝的是最終落入記者手中的是密碼而沒非雜湊。
故事特別注重在數據的「新鮮度」,記者聲稱160億並不包括2024年的大型資料外洩事故,引發最大的疑問「這新外洩的160億條密碼從何而來?為何除了記者外沒有其他人發現?」,可惜記者並沒有提出有關資料庫的證據,所以其他專家無法進行分析,也無法確切地確定用戶資料是否牽涉其中。據報導,整個資料庫來原可能是盜竊工具,而這種威脅確實在近年有上升趨勢,根據Kaspersky的數據,在2023至2024年間偵測密碼盜竊數量上升21%,個人和機構用戶都成為攻擊者的目標。
可以採取的措施
首先,最佳的建議是更改你的密碼,謹記要建立唯一並有高強度的密碼組合,使黑客難以破解,利用密碼管理工具能夠安全地儲存不同帳號的密碼,而用戶只需記住一條主密碼。其次是設定雙重登入認證(2FA),接近所有普及的服務都支援2FA,進一步增加入侵帳號的難度。至於有儲存密碼到瀏覽器習慣的用戶,應該盡快移除密碼,因為黑客從瀏覽器盜竊密碼只需數秒時間,相比之下密碼管理工具較為安全。除此之外,用戶不要忘記通訊程式的帳號安全,加強保安的設定和刪除過期的連結裝置,最後就是使用沒有密碼的方法「Passkey」登入帳號,現時Google、iCloud、Microsoft、Meta等服務已經支援。
資料來源:Kaspersky Blog
