ithome
3.6亿帐密资料惊传外泄，骇客疑似利用窃资软件取得，并透过Telegram频道兜售
文/周峻佑 | 2024-06-04发表
资安专家Troy Hunt接获通报，有人从Telegram频道取得122 GB帐密资料，涉及逾3.6亿个
电子邮件信箱，约有超过4成未曾被密码外泄查询网站Have I Been Pwned收录
维护密码外泄查询网站Have I Been Pwned（HIBP）的资安专家Troy Hunt表示，一名不愿
具名的研究人员从518个骇客兜售个资的Telegram频道里，抓取122 GB资料，当中包含
1,748个档案、20亿笔资料，经过整理，这些资料涉及3.61亿个电子邮件帐号。
值得留意的是，上述资料有近半数（1.51亿个）并未收录于HIBP的数据库，Troy Hunt检
查后初步认为，这些电子邮件帐号应是有效资料，但他没有测试密码，并指出若是密码无
效，很有可能只是现在的时间点已失去作用，不代表资料遭到泄露后是否有效。
而对于这些资料的内容，Troy Hunt指出，除了电子邮件，还包含了密码，以及来源的网
站，一旦骇客取得，很有可能用于发动帐号填充（Credential Stuffing）攻击。究竟卖
家如何取得这些资料？他认为极有可能是透过窃资软件搜括而得。
为了验证帐密资料的有效性，该名资安专家寻求部分HIBP用户协助确认自己外泄的资料，
其中遭遇13起资料外泄事故影响的人士向他表示，相关帐号资料细节已在过往的事故流出
。另有遭遇7起事故的用户也提出类似的发现，但Troy Hunt指出，这些事故仅有6起导致
密码外流，包括：MyFitnessPal、8fit、FlexBooker、Jefit、MyHeritage、ShopBack。
也就是说，并非所有外流资料都能找到对应的资料外泄事故。Troy Hunt找到一笔疑似来
自窃资软件事件记录的档案，这名德国受害者向他透露，这些资料应该是正确的，但在此
之前已有网络服务提供者通报帐号遭到入侵，该名受害者已更换密码，并指出他在德国电
信设置的新密码难以猜测，而这些帐密资料都存放于Firefox。
这名受害者进一步透露，自己在工作时使用Windows电脑，平常使用MacBook及iPhone，但
在大约一周前，所使用的Gmail帐号遭遇严重的垃圾邮件攻击，而且有人以这个帐号订购
昂贵的商品。
此外，也有使用密码管理服务LastPass储存相关资料的用户，向Troy Hunt证实外泄资料
的有效性，并指出他近期已经更换了部分密码。
甚至有14岁青少年用户透露，这些他外流的帐号资料，密码已经更换，但最近他接连收到
勒索邮件而感到困扰。
这样的情况，证明这批帐密资料的影响范围很广，之所以外流，应该是有人利用窃资软件
入侵使用者电脑取得。
https://www.ithome.com.tw/news/163293
备注:不要再说台湾资安很烂了
全世界都一样烂