作者dosiris (希望大家开心)
看板MobileComm
标题[新闻] 快改密码!160亿笔帐密外泄 苹果、Googl
时间Mon Jun 23 09:08:57 2025
1.原文连结:mhttps://3c.ltn.com.tw/news/62241
2.原文标题:快改密码!160亿笔帐密外泄 苹果、Google、脸书都中了
3.原文来源(媒体/作者):自由时报/吴佩桦
4.原文内容:
资安大警报!根据Cybernews研究团队揭露,全球惊传高达160亿笔帐号密码外泄,波及平
台涵盖苹果、Google、Facebook等,甚至连政府单位也未能幸免,堪称史上最大规模的帐
密外泄事件之一。
研究团队指出,他们自年初以来持续监控网路环境,至今共发现30组外泄资料集,每组包
含数千万至35亿笔帐密不等,总量累积达160亿笔。这些帐密多半来自资讯窃取型恶意程
式,其中最大的一组资料,疑似来自葡语地区,用户数量惊人。
令人担忧的是,该批资料集中仅有一组曾被媒体报导,内容为1.84亿笔帐密,其余从未曝
光。研究人员进一步指出,这些帐密资料格式整齐,一致为「网站网址 → 帐号 → 密码
」,并非过去外泄资料的重组,而是可以直接被用於网攻的「新鲜战利品」,骇客可轻易
发动各类网路攻击,像是钓鱼、勒索病毒或商业诈骗等。
目前无法确认这些资料集的实际拥有者,也难以估算重复比例与受害人数,但研究团队警
告,即使只有1%被利用,也可能波及数百万用户。
那麽,一般用户该怎麽做才能自保?建议采取以下措施。立即更换重要帐号密码,并设定
为高强度密码;避免在不同平台重复使用相同密码,建议使用密码管理工具;启用双重验
证(2FA),增加帐号防护层级;警惕来路不明的讯息与信件连结,勿随意点击;定期检
查电脑与手机是否感染恶意程式。
5.心得/评论:
多年来一直坚持icloud信箱不外流,只跟苹果通信使用,没想到还能被外泄。
建议有疑虑的用户更改密码,或启用双重验证。被外流的则要小心诈骗信件。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.171.61.231 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1750640940.A.394.html
※ 编辑: dosiris (1.171.61.231 台湾), 06/23/2025 09:15:30
1F:→ shinmori : 密码库被盗,2FA一样被盗,除非2FA不和密码存在一 06/23 09:22
2F:→ shinmori : 起 06/23 09:22
3F:推 s01714 : 还好我用iPhone ,好安心 06/23 09:34
4F:推 Ceferino : 鸽子飞了 06/23 09:38
5F:推 wellwest : 我的密码只防的了我自己 06/23 09:40
6F:→ segio : 要定期换密码.换到自己都忘了密码.哈.. 06/23 09:41
7F:推 chulen : 不同平台使用不同密码 现在又要大小写特殊符号数字 06/23 09:45
8F:→ chulen : 是多能记... 06/23 09:45
9F:→ glen246 : 网站+各种会员几百个,每个都用随机乱码密码根本难 06/23 09:50
10F:→ glen246 : 以记起来 06/23 09:50
11F:→ segio : 自动登入密码到自己都忘了密码是啥.. 06/23 09:52
12F:推 laker7634 : 同意7楼,超讨厌那种强迫一定要大小写甚至加符号的 06/23 09:55
13F:推 answer012103: 可以采用随机密码加自己固定的token,只要记住自己 06/23 10:02
14F:→ answer012103: 的token,随机密码存在密码管理器 06/23 10:02
15F:→ answer012103: 登入时从密码管理器取得随机密码再自己key入token 06/23 10:03
16F:推 dakkk : 有不正常登录 google不是会通知 06/23 10:03
17F:→ answer012103: 这样即使密码被盗也因为不知道你的token而无效 06/23 10:04
18F:推 simon0529 : 说个笑话icloud不外流,早就外流过好几次了 06/23 10:05
19F:→ segio : 行动自然人凭证就还不错.直接丢到手机上同意就好. 06/23 10:06
20F:推 iComeInPeace: 2025早就用密码管理器了 06/23 10:09
21F:→ iComeInPeace: 每个网址密码不共用 15码起跳 06/23 10:10
22F:推 mc2834 : 密码规则一堆,结果到头来还是被盗… 06/23 10:10
23F:→ shinmori : 密码资料库最好还是自已保管的比较安全,但厂商想 06/23 10:11
24F:→ shinmori : 赚钱就是要留住用户的密码 06/23 10:11
25F:→ bnn : 应该就是密码管理器app被盗吧 全部密码通通裸奔 06/23 10:18
26F:推 Porops : 自然人凭证算了吧,已经因为太多智障直接给诈骗拿 06/23 10:18
27F:→ Porops : 去开户被各大银行封锁了 06/23 10:18
28F:→ bnn : 毕竟你居然信了那些密码管理器公司 06/23 10:19
29F:推 DarenR : 160亿外泄,那我就不改了 06/23 10:21
30F:推 redbeanbread: 管理器感觉就是来收集密码的 06/23 10:31
31F:推 s78513221 : 管理器再怎麽说也比人脑跟惯用密码好 06/23 10:32
32F:→ RuinAngel : 管理器可以用离线的啊或是自架 server 的 06/23 10:41
33F:推 DimlyLit : 水果不是很安全?! 06/23 10:44
34F:推 sal60614 : 苹果本身很安全但密码管理公司不一定安全啊== 06/23 10:45
35F:→ w3160828 : 把密码交给管理公司本来就是有机会被管理公司管理 06/23 10:48
36F:→ w3160828 : 不善泄漏…一堆怪咖不相信苹果相信没听过的第三方 06/23 10:48
37F:推 ilGroundhog : 我从不用密码管理器应该不用改密码 06/23 10:51
38F:推 Andosinjo : 这三个平台都有两阶段验证,密码外泄有差吗?光有 06/23 10:56
39F:→ Andosinjo : 密码又登不进去 06/23 10:56
40F:推 widec : 同13楼,随机密码请使用中文输入法字根拆中文字 06/23 10:56
41F:→ widec : 比如用你会的中输拆你自己的名字,再加上惯用数字 06/23 10:57
42F:→ widec : 只要你会注音以外的中输,那就是世界最强的编码机 06/23 10:58
43F:→ nekoares : 注音输入泄漏了也没有意义,国外密码leak版上很有名 06/23 10:58
44F:→ nekoares : 的ji32k7au4a83就是 还是要做个人调整 06/23 10:59
45F:→ widec : 当然,但是光是记忆三四个中文字就够了 06/23 11:00
46F:→ widec : 甚至你可以把英文字母中文化 ex:A=欸 B=哔 再去拆字 06/23 11:02
47F:→ widec : 找出一个你喜欢的规则 加上中输拆字做字母化就够了 06/23 11:03
48F:→ widec : 不过密码再怎麽厚工 只要让管理器帮记 都是白饶 XDD 06/23 11:05
49F:→ widec : 像是浏览器就是最有可能出卖你的 06/23 11:06
50F:推 x20165 : 密码管理器我都是用自架,找个开源就可以了 06/23 11:12
51F:推 gv390 : 密码原则只能防的了我自己 06/23 11:14
52F:推 ltytw : 我的密码只防住我自己 之前有一阵子google登入 06/23 11:14
53F:→ ltytw : 密码打对却一直要我认证 06/23 11:14
54F:→ fym68 : 看起来不会只有自己外泄 那就放心了 06/23 11:25
55F:推 ageminis : 浏览器也会记除了安全码以外的信用卡资讯,我有时担 06/23 11:31
56F:→ ageminis : 心会不会盗刷 06/23 11:31
57F:→ WOGEchidna : 浏览器要输信用卡的时候要记得勾选不记忆,偶尔去 06/23 11:41
58F:→ WOGEchidna : 看一下密码栏 06/23 11:41
59F:推 doranako : 2fa 06/23 11:47
60F:嘘 htc314 : 绑着简讯认证,不怕。 06/23 11:47
61F:推 eric112 : 用两阶段验证 06/23 11:59
62F:推 raidcrash : 一些网站与其搞一堆白痴密码规则 不如赶快做MFA 尤 06/23 12:13
63F:→ raidcrash : 其是购物网站 06/23 12:13
64F:推 Taiwanese888: 整篇文说的帐密外泄关密码管理器什麽事?又不是Last 06/23 12:26
65F:→ Taiwanese888: Pass 06/23 12:26
66F:推 kashiwa27 : 哪来的野鸡团队 06/23 12:39
67F:嘘 chi17 : 等Google跟apple管理的密码外泄再说 06/23 12:49
68F:→ alan3100 : google都半强制2fa了 还在那说不会通知 06/23 13:00
69F:推 adminc : 又要换块新牛骨刻新密码了,QQ 06/23 13:16
70F:→ square4 : 2FA无法防钓鱼,也应减少对密码的依赖,转为MFA、 06/23 13:16
72F:→ yunf : 改密码有什麽用? 06/23 13:40
74F:→ yunf : 全部都假的 06/23 13:42
76F:→ yunf : 葡语不就澳门? 06/23 13:45
77F:推 dias7812 : 大概是伪oauth偷到的 06/23 13:47
78F:→ yunf : 偷到160亿笔都没人知道? 06/23 13:48
79F:→ yunf : 都没被用过就被丢出来? 06/23 13:48
80F:→ yunf : 延伸思考能力会不会太弱? 06/23 13:49
81F:→ yunf : 他放这个消息出来背後的目的是什麽?是不是有新机制 06/23 13:50
82F:→ yunf : 要推? 06/23 13:50
83F:推 j65p4m3 : 密码只防的住本人 06/23 13:51
84F:→ yunf : 孤狗已经不太可信了 06/23 13:57
86F:→ yunf : 有一个出大包可是不能讲 06/23 13:59
88F:→ yunf : 也承认了这件事 06/23 14:01
90F:→ yunf : 情 06/23 14:03
91F:→ yunf : 你们没有分析过孤狗web的字体 06/23 14:07
93F:→ yunf : 会出包 因为台湾根本就没有这麽先进的技术 06/23 14:09
94F:→ yunf : 觉得NVLink已经快到不可思议但CloudMatrix 384 NVID 06/23 14:25
95F:→ yunf : IA GB200 NVL72 NVIDIA GB200 NVL576 你们如果去看 06/23 14:25
96F:→ yunf : 光纤的速度就会知道快还有更快 06/23 14:25
97F:→ yunf : 你们还记得当年他提供免费Wi-Fi结果被发现在蒐集使 06/23 14:34
98F:→ yunf : 用者的资料? 06/23 14:34
99F:推 HTC92 : FB应该是长久以来可以连太多APP绑定才会被盗吧 06/23 15:23
100F:推 kevin190 : 应该要更改这种输入密码的认证程序,太容易出问题 06/23 15:24
101F:推 Gokudo : 这年头还有不用两阶段的被盗没救 06/23 15:28
102F:推 yafx4200p : 成天叫人改密码 06/23 16:05
103F:推 junsport : 只有果粉和腥粉觉得自己最聪明在资料很安全 06/23 16:40
104F:→ p20162 : 没二段验证一律当人家知道 06/23 16:48
105F:推 rickey1270 : 改的好累== 06/23 17:09
106F:嘘 bill0205 : 密码复杂度只是防止暴力破解 要取得密码又不是只有 06/23 17:24
107F:→ bill0205 : 暴力破解可以做== 06/23 17:24
108F:→ bill0205 : 提倡MFA还比较实际 06/23 17:25
109F:嘘 JH10 : 苹果资安那麽强,又是封闭系统,不可能外泄好吗? 06/23 17:32
110F:→ hollen9 : 1F这样讲不懂的人很容易误会 以为密码库不安全 06/23 18:21
111F:→ hollen9 : 重点是 2FA 不要和密码库放在一起就好了 06/23 18:21
112F:→ hollen9 : 2FA 不论是 Windows/macOS/iOS/Android 都有很好用 06/23 18:21
113F:→ hollen9 : 的离线、可备份转移的 TOTP 验证器 06/23 18:22
114F:→ hollen9 : 一些推文说密码库外泄 没有实际新闻就是阴谋论 06/23 18:23
115F:→ hollen9 : Lastpass 实际外泄这种的就是雷 06/23 18:23
116F:→ hollen9 : Bitwarden 云还没有 06/23 18:24
117F:→ hollen9 : 然後别再把注音当成编码了 C#我都写过注音逆向中文 06/23 18:25
118F:→ hollen9 : 真的有心人锁定台湾人或是你个人的话 06/23 18:25
119F:→ hollen9 : 弄个注音版的字典攻击就可能攻破了 06/23 18:26
120F:→ hollen9 : *注音逆向中文不是我研发 我是爬虫google输入法 06/23 18:27
121F:推 ClixTW : 不用说那麽多,他们会继续只信任自己脑子,然後等 06/23 18:34
122F:→ ClixTW : 要用到的那天才发现早把密码忘了 06/23 18:34
123F:→ hollen9 : 有一百个网站根本不可能记得 除非规则非常明确好猜 06/23 18:46
124F:→ hollen9 : 真的不想相信密码库/数位 至少也写在纸上甚至防火 06/23 18:47
125F:→ hollen9 : 材质 也比自作聪明的"高复杂"规则以为可以骗过骇客 06/23 18:47
126F:→ hollen9 : 注音密码不安全新闻:ji32k7au4a83 事件 06/23 18:53
127F:→ acergame5 : 就是密码管理器的密码外泄啊 怎麽还有人得意洋洋说 06/23 19:41
128F:→ acergame5 : 自己用这个 06/23 19:41
129F:推 Taiwanese888: 哪里说是密码管理器的密码库外泄?怎麽还有人得意洋 06/23 20:39
130F:→ Taiwanese888: 洋说这个? 06/23 20:39
131F:推 adwowcuthand: 还好我用百度+金山360 06/23 20:45
132F:推 aova : OTP登入是要怎麽盗 06/23 22:48
134F:→ hollen9 : 不怪这些奇葩 现代这种人已经愈来愈多了 XD 06/23 23:53
135F:→ UC93 : 脸书送你吧 没再用惹 被偷了也没损失 06/24 00:12
136F:→ square4 : OTP只能防密码被盗,不能防钓鱼网站(中间人攻击、 06/24 00:27
137F:→ square4 : 社交工程),还要注意IDN欺骗,对於安全性提升有限 06/24 00:27
138F:推 rickey1270 : 以前还有玩游戏橘子或新干线的游戏时,真的以为记性 06/24 01:18
139F:→ rickey1270 : 很好,唉 06/24 01:18
140F:推 MisterSmile : 说个笑话:美国厂商 06/24 01:44
141F:推 GivemeApen : 然後就卡到自己了 06/24 05:38
142F:推 kimuya1127 : 还好我从不用手机电脑网路好放心.... 06/24 14:54
143F:→ seancschang : 太扯 06/25 07:41
144F:推 Tenging : 今年又换了一次密码 没我的事吧 06/25 11:50
145F:推 suiyan : 所以双重验证很重要 06/26 08:37
146F:推 popbitch : 以前遇过骗密码的方式就是伪造的登入画面 06/26 10:00
147F:→ popbitch : 例如你在FB点了一个连结,跑出FB的登入画面 06/26 10:01
148F:→ popbitch : 你以为需要再登入一次就输入帐号密码,结果就被 06/26 10:02
149F:→ popbitch : 假登入网页纪录帐号密码 06/26 10:02
150F:嘘 astrofluket6: 改密码->帐密外泄->改密码->无限循环 06/27 02:31