根據外媒PCWorld報導,這批外洩資料最初由資安公司「Synthient」整理彙總而成,該公司長期追蹤全球多起資料外洩事件,將不同來源的帳號密碼資料進行整合、比對與去重。亨特收到資料後,立即展開驗證工作,最終確認外洩的帳號密碼大多是透過資訊竊取惡意軟體「Infostealer」竊得,甚至可在駭客論壇、Telegram群組上免費取得。
為了確認外洩資料的真實性,亨特還以自己的資料進行測試,他先是輸入自己的名字,結果真的在資料庫中找到了一個他在1990年代曾經使用過的電子郵件,系統還顯示與該信箱關聯的多組密碼,而這其中確實有一組是他本人當年使用過的密碼。亨特再聯絡幾位訂閱他電子報的使用者請求協助,結果有些使用者發現了早已棄用的舊密碼,更有者發現目前仍在使用的帳號密碼也出現在名單中。
亨特指出,駭客往往會利用這類外洩資料進行所謂的 「憑證填充攻擊」(Credential Stuffing),即會反覆嘗試不同帳號密碼組合,由於許多使用者長期不更換密碼,或是習慣使用簡單密碼,如「12345」、生日、寵物名或人名等,極其容易成為駭客攻擊目標,因為這樣的習慣恐讓駭客即使是以多年前的資料嘗試也可能奏效。
如何確認帳號密碼是否外洩?
為了協助大眾確認自身密碼是否外洩,亨特將這批資料中的密碼上傳至 「Pwned Passwords」資料庫,讓使用者輸入任意密碼,查詢其是否曾被破解或出現在外洩清單中。亨特強調,這些密碼資料只包含字串本身,不會與任何電子郵件地址綁定,查詢目的單純只是為了確認密碼安全性。
亨特舉例說明,假設查詢密碼「Fido123!」的結果為「已外洩」,則這組密碼無論是否與帳號、電子郵件綁定都已不重要,因為這樣的密碼已經不安全,應該立即更換。亨特建議,無論是主要信箱或臨時帳號,使用者都應定期檢查:「你永遠無法確定誰可能已經掌握了你的資料,主動檢查與更新,是維護網路安全的唯一方法。」
