駭客網站驚曝近百億組密碼 歷來最大規模外洩

「網路新聞」(Cybernews)組織研究員12日表示，一個擁有將近100億組密碼的檔案4日被駭客貼到網站，為歷來規模最大的密碼外洩事件，被冠上「2024搖撼你們」(RockYou2024)的名稱，經交叉比對發現，那些貼上網的密碼並不全是新的，但涵蓋面由網路攝影機到產業硬體，不管它們上線、下線，無所不包。

包括20年逾4000資料庫數據 入侵風險飆升

「今日美國報」(USA Today)報導，網路新聞的專家們發現，國慶日貼上駭客網站的檔案有99億4857萬5739組全是純文字的密碼檔，規模之大為史上之最；該組織相信，駭客可以用這批密碼，暴力攻擊任何不設防的電腦系統。

網路新聞組織稱，一個名為「歐記健保」(ObamaCare)的用戶把這麼龐大的密碼，包裹在一個檔案內上傳，但密碼並不全是最新的。該組織使用自己的「遭洩密碼比對器」(Leaked Password Checker)交叉比對「2024搖撼你們」裡的密碼，發現這些密碼是由新、舊駭客入侵事件，所取得的密碼混合而成；為期20年，由4000多個資料庫裡搜集而得。

「憑證填充」攻擊手法 傷害很大

網路新聞組織表示，RockYou2024本質上是把全球真實世界裡，用戶個別使用的密碼集纂起來；公布那麼多密碼給「威脅行為人」(threat actor)，大幅升高「憑證填充」(Credential stuffing)攻擊的風險。憑證填充指的是駭客取用一次數據洩露而取得的資訊如密碼，試著登錄上其他網站，對公司行號及消費者傷害可以很大。

網路新聞組織指出，駭客鎖定且攻擊「票務大師」(Ticketmaster)等幾個網站，使用的手法就是憑證填充。

三年前，稱為「2021震撼你們」(RockYou2021)貼出84億組密碼在駭客網站上，是當時規模最大的密碼外洩。網路新聞組織表示，公司研究員判定，2024版本相形2021年，增加了15億組新密碼。

退休聯邦調查局(FBI)幹員、網路犯罪預防專家奧根鮑姆(Scott Augenbaum)表示，這100億組密碼被釋出，是把以往多次駭客攻擊所取得的數據倒出來，並不是新的，但那麼多密碼收在單一檔案，貼上網路，仍是大事。

保護上網安全 勿多帳戶用同組密碼

奧根鮑姆指出，這起事件給大家的教訓乃是提醒：無論你保護自己上網安全做得多好，有人還是會丟出你的用戶名稱及密碼。此間的危險在於：很多人使用一組相同密碼且用在許多平台上，一旦密碼被破解，駭客就可以入侵多個帳戶。

奧根鮑姆表示，每個帳戶都該使用不同的密碼，這件事很重要。