史上最大帳號密碼外洩!高達 160 億筆帳密流出,涵蓋 Facebook、Google、Telegram
根據資安研究團隊 Cybernews 的調查,2025 年上半年,研究人員共發現了超過 30 個外洩資料集(datasets),每組內容從數千萬筆到超過35億筆不等。這些資料集大多在未加密的 Elasticsearch 或雲端物件儲存空間中短暫開放,雖然目前尚無駭客實際掌控的證據,但光是可存取這些資料的可能性,就已讓整個網路安全圈震驚。
這些資料加總後,總共達到了驚人的 160 億筆帳號密碼紀錄,堪稱史上最大未曾報導過的資料外洩事件。
前 20 大外洩資料集一覽(最大單一檔案逾 35 億筆)
根據 Cybernews 公布的數據圖表,前 20 名的外洩資料集中,最大的一筆紀錄包含 35.64 億筆資料,其次是 28.92 億筆與 19.78 億筆等。
廣告 - 內文未完請往下捲動
平均每筆資料集就含有 5.5 億筆登入憑證,對駭客來說,這些資料不僅代表可用帳號,更是進行身份冒用、釣魚攻擊與企業侵入的起點。
其中有些資料集命名為「logins」、「credentials」等通用詞彙,無法辨別來源;但也有命名揭示與特定平台有關,例如 Telegram、俄羅斯網站或某些雲端應用系統,顯示這些資料並非來自單一來源,而是多個惡意軟體(infostealers)長期蒐集的成果。
此次外洩並不是「舊資料重發」
研究團隊強調,這些資料並非舊資料重複流出,而是結構完整、收集方式明確,甚至包含登入 URL、帳號、密碼、Cookies、Token、系統元資料等。這樣的資料組合可供駭客用於自動化登入測試、帳號接管、以及量身打造的詐騙郵件。
這些外洩資訊來自各式平台,包括社群媒體(Facebook、Telegram)、雲端儲存服務(Google Drive、Apple ID)、開發者平台(GitHub),甚至有部分記錄指出與政府網站登入憑證有關。
誰該擔心?幾乎所有上網的人都在這波風險名單中
由於資訊來源廣泛,且內容結構雷同,研究團隊坦言無法精確估算有多少帳號為唯一記錄,重複性無法完全排除。但在 160 億筆紀錄面前,即使僅有 1% 成功導致帳號被盜,也足以影響數百萬人。
更值得注意的是,某些資料集來自名為 infostealers 的惡意軟體,使用者一旦中毒,其登入憑證便可能即時被送入駭客資料庫。這種資料庫不只被販售,也常被轉手重組成更龐大的集合檔案。
MOAB 之後的新紀錄?全球資料外洩正進入「超規模」時代
早在 2024 年,Cybernews 就曾揭露過號稱史上最大資料外洩事件 「Mother of All Breaches(MOAB)」,累積紀錄高達 260 億筆。但這次不同的是,這 160 億筆帳密資料並非來自單一事件,而是多重來源整合的「實戰攻擊藍圖」。
研究人員警告,這些資料正成為釣魚攻擊、帳號接管、勒索病毒、甚至企業郵件詐騙(BEC)活動的「燃料來源」。若企業沒有強化雙重驗證、多層防護與帳號行為監控,極可能成為下一個受害者。
無法阻止,就從防守做起:用戶應立即採取這些動作
雖然研究團隊強調這些資料並未長時間公開,也不清楚是否已被駭客下載,但對於一般用戶與企業端來說,立即進行資安健檢依然是必要行動:
✅ 更新與加強帳號密碼(採用密碼管理器)
✅ 啟用多因素驗證(MFA / 2FA)
✅ 檢查瀏覽器與系統中是否潛藏 infostealer
✅ 避免在可疑網站輸入登入資訊
✅ 若曾在不同平台重複使用密碼,應立即變更
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
