資安研究機構 Cybernews 日前揭露,2025年上半年已觀察到超過30個外洩資料集,總數高達驚人的160億筆帳號與密碼紀錄,堪稱史上最大規模且未曾公開報導的資料洩露事件。研究人員指出,這些資料大多儲存在未加密的 Elasticsearch 資料庫或雲端物件儲存空間中,雖然尚未發現遭駭客掌控的明確證據,但光是這些資料一度可被隨意存取,已令全球資安圈震驚。
在這30多組資料集中,單一外洩紀錄最多者竟高達35.6億筆,其次亦有28.9億筆、19.7億筆等驚人數量。Cybernews 公布的數據顯示,這些資料平均每組就包含超過5億筆完整登入憑證,對駭客而言,這不僅意味著數以億計的可用帳號,更是發動身分盜用、釣魚攻擊、企業滲透與勒索病毒的巨大資源庫。
此次外洩資料命名五花八門,有些使用「logins」、「credentials」等通用詞,難以追溯來源;但也有明確標示出自 Telegram、某些俄羅斯網站、雲端平台應用,甚至是與政府網站相關的登入資訊,顯示這並非來自單一事件,而是多個惡意軟體(infostealers)長期蒐集所形成的大規模合併資料庫。更令人警惕的是,這些資料結構完整,除帳號密碼外,還包含登入網址、Cookies、驗證Token與系統元資料,這使駭客得以精準模擬使用者行為,進行自動化登入測試與假冒攻擊。
政府入口網站未能倖免
研究團隊特別指出,這並非重複流出的舊資料,而是新的、未曾公開的外洩紀錄。資料來源涵蓋範圍極廣,從 Facebook、Telegram、Google Drive、Apple ID 到開發者常用的 GitHub,甚至連政府入口網站帳密也未能倖免。不少紀錄以「網站連結-使用者名稱-密碼」清楚列出,幾乎可供駭客即時使用,極具實戰價值。
由於來源多元且結構雷同,Cybernews 無法估算其中重複比例,但強調在160億筆資料中,即使僅1%遭盜用,也將造成數百萬人受害。這些資料目前已成為釣魚詐騙、企業電郵攻擊(BEC)與帳號接管的「燃料庫」,對企業與個人皆構成實質威脅。
Cybernews 研究員 Vilius Petkauskas 表示,團隊從年初即開始調查,發現這些資料不但數量龐大,還呈現攻擊導向的結構與蒐集邏輯,「這不只是洩露事件,更像是一份駭客的行動手冊。」與2024年曾揭露的MOAB事件(累積洩露數達260億筆)相比,此次洩漏更具複雜性與針對性。最大不同在於,這160億筆資料來自分散來源、時間跨度長、蒐集方式有跡可循,代表網路安全早已從「單點漏洞」進入「長期滲透」與「高整合攻擊」的新階段。
面對此類風險,資安專家呼籲,現代網路使用者已無法單靠一組密碼保障安全。從Google到FBI,多次建議大眾使用強密碼、雙重驗證與定期更換帳密,以減少中招機率。研究人員同時提醒企業,應立即加強內部系統的異常行為偵測機制,否則一旦憑證遭竊,即可能成為下一個新聞主角。(編輯部)
下載APP