160億筆帳號密碼外洩「Apple、META、Google全中招」
有兩階段驗證也沒用「Cookies也外流」
近期爆發一起有史以來規模最大的帳密外洩事件,總計高達160億組帳號密碼在網路上曝光,牽涉範圍涵蓋Apple、Google、Facebook、Telegram、GitHub與多項政府與企業服務。根據《Cybernews》研究,這些資料並非舊資料回鍋,而是來自近期的資訊竊取行動,且絕大多數是被惡意軟件所擷取。
研究團隊發現,這些資料庫結構清晰,常以網址搭配帳號密碼呈現,許多還附加Cookies、Session權杖與自動填入的瀏覽器中繼資料,能讓攻擊者直接繞過兩階段驗證(2FA)系統,入侵用戶帳號。
- Google、Apple有漏洞造成帳號密碼外洩?主因來自於使用者習慣信任
那也有人擔心”160億帳號密碼外洩”,是不是就代表Facebook、Google、Apple公司的伺服器遭黑客入侵導致資料洩漏?
根據揭露此事件的關鍵人物 SecurityDiscovery 負責人 Bob Diachenko 澄清,這並非針對 Facebook、Google 或 Apple 的集中式資料外洩事件,也就是說這些大型科技公司本身的伺服器並沒有被入侵。
他補充在資訊竊取型惡意程式 (Infostealer) 所蒐集的資料中,雖然出現了這些大型公司的登入頁面憑證記錄,但只代表個別使用者的帳號主要是因電腦或瀏覽器遭受木馬感染後才被竊取,再被轉售至暗網。
- 資訊竊取型惡意程式(Infostealer)
能夠竊取以上這些資料來源主要與資訊竊取型惡意程式 (Infostealer) 有關,據以色列資安公司 Hudson Rock 的說法,這類簡單惡意程式都會藏匿在盜版軟件、惡意PDF、遊戲模組或破解工具內,共要用戶自行安裝後,惡意程式就能自動竊取設備內資料並送進暗網交易平台,例如:
l 文件、自動填寫資料、帳號清單
l session cookie(可繞過登入的臨時驗證)
l 公司內部工具登入資訊
l VPN 憑證
.使用 密碼管理器 生成並儲存高強度、唯一密碼。
.定期更新密碼,避免多年不換
.啟用雙重驗證(2FA)或多重驗證(MFA)保護帳號。
.部分外洩資料包括登入 Cookies 及 Session Tokens,建議用戶登出所有活躍裝置及重新登入,以減低風險。
.為電腦及手機進行全面防毒及惡意程式掃描,移除潛在威脅。
至於企業,建議積極推行「零信任」安全策略,即無論用戶或裝置身處內部或外部網絡,均不應自動信任,必須驗證身分、實施最小權限原則及持續監察異常活動。