近日,一則關於「Gmail 爆發大規模安全漏洞,導致數百萬甚至上億用戶密碼外洩」的消息在社群媒體與論壇上流傳,引發部分用戶擔憂。然而,Google 官方已在第一時間出面闢謠,強調 Gmail 系統並未遭到入侵,用戶資料依然安全。
這起事件實際上是一場由誤解引起的資安新聞烏龍。
事件起因
風波起因於資安專家 Have I Been Pwned (HIBP) 平台創辦人 Troy Hunt 宣布將一批約 3.5 TB、共計 1.83 億筆電子郵件憑證的資料集,新增至 HIBP 的資料庫中。部分媒體與網路貼文誤將這批資料解讀為「Gmail 遭駭導致的最新外洩事件」,進而引發錯誤報導與恐慌。
Cyberq 推薦大家可以多使用Have I Been Pwned (HIBP) 這個網頁平台,檢視自己的帳號在那些網頁有外流外洩的紀錄,進而記得去修改自己在這些平台的帳號密碼。
更重要的是,如果有任何一個網站外洩了你的帳號密碼等資料,代表其他平台的帳號也會被駭客嘗試去用這些帳號密碼來登入,若成功就修改你的密碼去做其他用途。
Google 澄清並非新攻擊,系統防禦依舊穩固
Google 隨即透過官方 X(前 Twitter)帳號 @NewsFromGoogle 發布聲明,指出「有關『Gmail 安全漏洞影響數百萬用戶』的報導是錯誤的。Gmail 的防禦依然強大,用戶持續受到保護。」Google 強調,這些不準確的報導源於對「竊資軟體資料庫」(infostealer databases)的誤解。這些憑證並非來自任何針對 Gmail 的新攻擊,而是過去數年間竊資軟體從受感染的用戶電腦、釣魚網站或憑證填充攻擊中,零散蒐集而成的舊資料。
Troy Hunt 也指出,這批新增資料中有 約 91% 的憑證早已存在於 HIBP 的舊資料庫中。
真正的威脅來自用戶端的憑證盜竊
儘管 Gmail 系統本身沒有遭入侵,這起事件仍提醒用戶注意自己個人用戶端的資安風險。這些資料多半是用戶在受感染的裝置上登入網站時,被惡意軟體從瀏覽器或記憶體中竊取。問題並不在於 Google Gmail,而在於使用者的電腦或行為習慣,例如:點擊惡意連結、安裝不明軟體,或是重複使用同一組密碼。
網路犯罪份子可利用這些蒐集到的帳密,對銀行、電商或社群平台發動「憑證填充攻擊」(Credential Stuffing),嘗試登入其他帳戶。
用戶應採取的防護措施
雖然此次為一場誤傳事件,但仍凸顯強化帳號安全的重要性。Google 與資安專家建議採取以下措施:
1、啟用二步驟驗證 (2FA):即使密碼外洩,沒有第二重驗證仍無法登入帳號。
2、使用用密鑰 (Passkeys):以指紋、臉部辨識或 PIN 取代密碼,更安全也更防釣魚。
3、檢查外洩狀況:可至 Have I Been Pwned 查詢電子郵件是否出現在外洩資料中。
4、定期更換密碼:若發現帳號疑似外洩,應立即更新密碼,並且定期更換密碼,切勿重複使用相同密碼。
5、使用密碼管理器:為每個網站建立獨特強密碼並妥善管理。
此外,Google 也表示,一旦偵測到大量暴露憑證,會主動通知受影響用戶並協助重設密碼。
CyberQ 觀點
雖然目前沒有任何證據顯示 Gmail 系統遭到入侵,但用戶們多注意自己的資料是否外流,做好 Google 帳號的安全性檢查是重要的,你可以點選這個連結去檢視自己帳號的安全性檢查。
檢視之後,Google 就會提醒你關於個人帳號的一些安全性資訊,如果你在其他平台的密碼有外流事件,這邊也會提醒你,再去做密碼變更等管理,資料來源也都類似,有的則是從暗網蒐集而來,協助大家確認自己的帳號密碼有沒有外流。
儘管此次傳聞的資料源於多年來由竊資軟體蒐集的舊資料,而非新的 Gmail 外洩事件。不過,這起誤傳再次提醒所有使用者:帳號安全的第一道防線,始終是你自己的資安習慣。下面是我們之前的文章報導,則是上次類似事件後,Google 官方的另一次闢謠和安全機制建議,有呼籲用戶增加使用 Passkeys,也是一個相對不錯的帳號安全性增強方式。
本文題圖及配圖由 Google Gemini AI 生成
