Google 今年內第二次向用戶澄清公司並未遭受大規模資料外洩事件。數月前 Google 曾發表不尋常聲明,反駁有關 Gmail 服務遭受嚴重保安問題指控。本週多間新聞機構報道指 1.83 億個密碼可能在新一輪資料外洩中被竊取後 Google 再次作出澄清。
Google 否認新一輪攻擊
Google 在 X 平台發文表示,這些帳戶並非新攻擊受害者,而是最近加入資料外洩搜尋引擎 Have I Been Pwned 資料庫紀錄。Have I Been Pwned 是免費資源,可快速告知用戶個人資料是否曾被黑客入侵。網站創辦人 Troy Hunt 在網誌指出,超過 90% 的數百萬被竊憑證均曾經出現,並非新資料。不過 Hunt 亦指出,當中有 16.4 萬個電郵地址首次在資料外洩事件中出現。
事件源於 infostealer 惡意軟件
安全專家指出,這批外洩資料來自 infostealer 惡意軟件。這類惡意軟件會在受感染裝置上靜靜收集登入資料,然後在非法市場出售。外洩資料主要包含網站地址、電郵地址及密碼。資料外洩發生於 2025 年 4 月,但 Troy Hunt 在 10 月才將資料庫整合至 Have I Been Pwned,顯示被竊憑證可能在犯罪網絡中流傳一段時間才被公開。
Google 發表聲明指:「有關『Gmail 保安漏洞影響數百萬用戶』的報道並不真實。Gmail 防禦系統強大,用戶仍受到保護。不準確報道源於對 infostealer 資料庫的誤解,這些資料庫定期匯集網絡上各種憑證竊取活動,並非針對任何個人、工具或平台的新攻擊。」
建議啟用雙重驗證及 passkey
Google 確實使用類似最近上載至 Have I Been Pwned 的公開憑證資料庫,向用戶發出可能外洩警報。公司建議用戶啟用雙重驗證及採用 passkey 作為更安全替代方案,而非單靠密碼。Google 強調如密碼被外洩應立即重設。
用戶可前往 HaveIBeenPwned.com 驗證個人資料是否外洩。網站會提供與電郵地址相關任何已知外洩事件的詳細時間表及來源概覽。如用戶發現憑證被標記,應立即更改密碼並啟用雙重驗證。
分享到 :
最新影片
