1.84 億帳密裸奔!揭秘 InfoStealer 惡意軟體引發的資安浩劫與自保之道

在數位時代,數據就是新的石油,而駭客則是貪婪的探勘者。2025 年 5 月,資安研究員 Jeremiah Fowler 向 Website Planet 揭露了一起令人咋舌的資安事件:一個完全沒有密碼保護的資料庫,赤裸裸地暴露在網際網路上,裡面存放著高達 1.84 億組(準確數字為 184,162,718)獨一無二的登入帳號與密碼。這高達 47.42 GB 的數據,不僅僅是冷冰冰的二進位代碼,更是全球數億使用者的數位身分危機。

這起事件並非傳統意義上單一企業被駭(如某個網站被攻破),而是更為陰險的「終端滲透」。透過分析,這批龐大的數據極有可能是由「竊密軟體(InfoStealer Malware)」長期蒐集而來的。


災難現場:從社交媒體到國家門戶無一倖免

這個被發現的資料庫內容令人觸目驚心。除了常見的電子郵件、使用者名稱與密碼外,還包含了登入連結的 URL。受害範圍跨越了所有人的數位生活版圖:從社交巨頭 Facebook、Instagram、Snapchat,到生產力工具 Microsoft、Google,甚至包含了遊戲平台 Roblox。

更令人擔憂的是,Fowler 在樣本中發現了大量的銀行金融帳戶、醫療健康平台(如 NHS),以及多國政府(.gov)的入口網站憑證。這意味著,駭客掌握的不僅是受害者的社交隱私,更握有其財產控制權,甚至是國家級關鍵基礎設施的潛在訪問權限。

資料庫中有部分檔案被標記為「senha」(葡萄牙語的「密碼」),暗示著攻擊者或受害者可能與葡語系國家有關,但受害範圍顯然是全球性的。為了驗證資料的真實性,研究員隨機聯繫了名單上的部分受害者,並證實了外洩的密碼確實是他們正在使用或曾經使用的有效憑證。


幕後黑手:InfoStealer 竊密軟體的運作機制

這 1.84 億筆資料並非來自單一網站的漏洞,而是來自使用者的「不安全習慣」。InfoStealer 是一種專門設計用來從受感染電腦中竊取敏感資訊的惡意軟體。

它是如何運作的?

  • 感染途徑
    駭客通常將 InfoStealer 隱藏在釣魚郵件的附件、假冒的軟體更新、破解版軟體(Cracked Software)或惡意網站中。
  • 竊取目標
    一旦軟體在你的電腦上執行,它會鎖定瀏覽器(Chrome, Edge, Firefox 等)、Email 客戶端與通訊軟體。
  • 全面搜刮
    它能竊取你儲存在瀏覽器中的「自動填入密碼」、Cookies(用於維持登入狀態)、信用卡資訊,甚至是加密貨幣錢包的私鑰。有些變種還能擷取螢幕截圖或記錄鍵盤輸入。

這解釋了為何資料庫中會有如此多樣化的網站憑證——因為駭客是直接從使用者的電腦裡「打包帶走」所有記住的密碼。


潛在風險:連鎖反應與企業間諜

一旦這些資料落入犯罪分子手中,後果將是毀滅性的:

  • 撞庫攻擊 (Credential Stuffing)
    由於許多人習慣在不同網站使用相同密碼,駭客可以利用腳本,將這 1.84 億組帳密在其他數千個網站上進行自動化測試,導致未受駭的網站帳號也遭接管。
  • 帳號接管 (Account Takeover, ATO)
    控制了 Email 帳號等於控制了一切。駭客可以重設受害者所有其他服務的密碼,進行身分盜竊或金融詐騙。
  • 企業間諜活動
    資料庫中包含大量企業信箱憑證。攻擊者可藉此滲透公司內網,竊取商業機密,或植入勒索軟體(Ransomware)。
  • 針對性釣魚
    擁有受害者的歷史郵件內容,駭客能發送極具說服力的詐騙信件(Business Email Compromise, BEC),誘騙受害者的親友或商業夥伴匯款。


防範之道:在零信任環境下生存

面對如此大規模的威脅,我們不能寄望於運氣。Jeremiah Fowler 與資安專家建議採取以下防禦措施:

  • 開啟多因子認證 (2FA/MFA)
    這是最有效的防線。即使駭客偷走了你的密碼,沒有你手機上的動態驗證碼或硬體金鑰,他們依然無法登入。請務必為所有重要帳號(Email、金融、社群)開啟 2FA。
  • 停止瀏覽器「記住密碼」功能
    InfoStealer 最愛攻擊的就是瀏覽器內建的密碼庫。建議改用獨立的密碼管理器(Password Manager),並確保主密碼極度強大且未在其他地方使用。
  • 密碼衛生習慣:
    1. 不重複使用密碼: 每個帳號都應有獨一無二的密碼。
    2. 定期更換: 雖然頻繁更換有爭議,但在發生大規模外洩事件後,更換主要帳號密碼是必要的。
  • 檢查是否外洩
    使用如 HaveIBeenPwned 等服務,定期檢查自己的 Email 是否出現在已知的外洩名單中。
  • 安裝並更新防毒軟體
    雖然新型惡意軟體可能繞過偵測,但高品質的防毒軟體或端點偵測回應系統(EDR)仍能攔截大部分已知的 InfoStealer。
  • 別當「數位倉鼠」
    不要把 Email 當成雲端硬碟。定期刪除含有敏感個資(如身分證影本、稅單、合約)的歷史郵件。若必須儲存,請使用加密的雲端空間。


這起 1.84 億筆資料外洩事件是一個嚴峻的提醒:在網路世界中,便利性往往伴隨著風險。唯有建立正確的資安意識,才能在惡意軟體環伺的環境中,守護好自己的數位資產。