全球資安社群傳出重磅消息，知名外洩檢測網站「Have I Been Pwned？」（HIBP，即「我被駭了嗎？」）創辦人資安專家杭特（Troy Hunt），近日收到1份規模龐大的外洩資料庫，內含超過20億筆獨立電子郵件地址與13億個獨立密碼。

據《PC World》報導，這批資料並非來自單一駭客事件，而是由資安公司「Synthient」長期從各種外洩來源匯總而成的整合資料集。過去，Synthient也曾提供過1.83億筆外洩郵件地址資料給HIBP進行安全分析。此次更新的資料量更為驚人，顯示資訊竊取活動的規模與深度仍在不斷擴大。

杭特在他的部落格中解釋，這批資料主要來自「網銀大盜」（Infostealer）類型的惡意軟體。這類惡意程式會在中毒電腦上自動竊取使用者的帳密，再被駭客散布於網路暗處或透過Telegram群組交換流通。Synthient收集這些外洩紀錄後，去除重複項目，留下唯一的帳號密碼組合，以利進行比對與研究。

杭特指出，這些資料有部分可在網路上自由取得，也有部分透過駭客社群流通。任何人都可以透過HIBP網站輸入自己的電子郵件地址，以檢查帳號是否遭到洩漏。

為確保資料真實性，杭特親自驗證多筆資料。他首先搜尋自己的名字，結果發現1個來自1990年代、早已棄用的電子郵件地址。更令人驚訝的是，他還找到數個與該信箱相關的密碼，其中有1組的確曾屬於他本人。

之後，他邀請多位訂閱他郵件清單的讀者進行測試。結果顯示，有人找到多年前已失效的密碼，也有人發現仍在使用的登入憑證。換言之，這批外洩資料橫跨數十年，既包含舊資料，也有近期的新紀錄。

杭特強調，即便資料年代久遠，也不代表已無風險。駭客經常使用一種名為「撞庫」（Credential Stuffing，又稱「憑據填充」）的攻擊手法，利用過去外洩的帳號密碼組合嘗試登入其他網站。由於許多使用者多年不改密碼，舊資料往往仍能奏效。

此外，簡單或可預測的密碼（例如「12345」、生日或寵物名字）更容易被快速破解，「只要使用者懶得更換密碼，駭客就永遠有機可乘。」

杭特已將這13億筆密碼匯入他的「被駭密碼」（Pwned Passwords）資料庫，供大眾檢查特定密碼是否曾被破解。這個資料庫並不包含電子郵件地址，只專注於密碼本身的安全性。

他舉例說，「假設你曾使用密碼『Fido123!』，若它已被揭露，不論是與你的信箱相關，還是他人的帳號被外洩，這個密碼都已不安全。因為這類密碼遵循可預測的規則，例如寵物名加上數字或符號，駭客能輕易破解。」

杭特補充，即使發現某個強密碼出現在資料庫中，也可視為它確實被外洩過的證據，因此應立即停用並更換，「無論是哪種情況，這個密碼都不該再出現在任何帳號上。」

杭特最後也提醒，用戶應定期檢查自己的電子郵件與密碼，無論是主要帳號還是1次性信箱，「你永遠不知道誰可能握有你的資料」，而資訊安全的防線往往取決於個人有無警覺。

