在數位化高度發展的今天，登入帳號與密碼已成為保護個人隱私與數位資產的最後一道防線。然而，這道防線再次面臨嚴峻考驗。資安研究員 Jeremiah Fowler 近期揭露了一個容量高達 96GB、內含 1.49 億個登入憑證的公開資料庫。這並非單一網站的資安漏洞，而是一場跨平台、跨國界的「帳密大屠殺」。

本文將針對此事件進行深度驗證與解析，並探討其背後的技術成因與防禦之道。

事件背景：誰是 Jeremiah Fowler？他發現了什麼？

Jeremiah Fowler 是一位知名的網絡安全研究員，專門監測不安全的資料庫與雲端配置錯誤（Misconfiguration）。他曾揭露多起重大的數據外洩事件。

在本次事件中，Fowler 發現了一個完全沒有密碼保護且未加密的資料庫。這個資料庫的獨特性在於它不是來自單一企業的資料外洩，而是來自「終端用戶」的日常行為。資料庫內含 149,404,754 則記錄，內容涵蓋：

• 電子郵件地址與使用者名稱
• 明文密碼（未加密）
• 導向帳戶登入或授權的 URL 連結

這意味著，攻擊者若取得這些資料，無需猜測密碼，即可直接接管使用者的數位生活。

數據分布分析：受影響的平台與重災區

根據 Jeremiah Fowler 的初步分析，這 1.49 億筆資料呈現出驚人的覆蓋率，幾乎涵蓋了目前全球主流的所有線上服務：

平台類別	洩漏數量估計	受影響的主要服務
電子郵件	約 5,300 萬筆	Gmail (4,800萬)、Yahoo (400萬)、Outlook (150萬)
社交媒體	約 2,500 萬筆	Facebook (1,700萬)、Instagram (650萬)、TikTok (78萬)
影音串流/娛樂	約 400 萬筆	Netflix (340萬)、HBO Max、Disney+、Roblox
關鍵基礎/政府	約 140 萬筆	各國 .gov 網域、.edu 教育體系憑證
金融與加密貨幣	數十萬至百萬筆	Binance (42萬)、網上銀行、加密錢包

特別令人不安的是 .gov 網域 的外洩。政府人員的登入憑證若落入駭客手中，可能引發國家級的資安風險，包括定向網路釣魚、滲透公務體系內部網路，甚至導致公共服務停擺。

技術根源：惡意瀏覽器外掛（Extension-as-a-Service）

這起事件最值得警惕的地方，在於其獲取數據的手段。Jeremiah Fowler 指出，該資料庫極有可能源自瀏覽器的惡意外掛程式。

鍵盤記錄器（Keylogger）的現代化演進

過去，駭客需要誘導用戶下載並執行 exe 檔案才能植入木馬。現在，透過看似無害的瀏覽器擴充功能（如：免費翻譯、優惠券搜尋、小遊戲、PDF 轉檔器等），駭客可以輕易地在瀏覽器內部運行腳本。

當用戶在瀏覽器輸入帳密時，這些「惡意外掛」會如同鍵盤記錄器一般，即時抓取輸入框的文字與當前的網址連結，並自動回傳到駭客控制的伺服器。這解釋了為什麼外洩資料中包含大量的登入 URL，因為這正是外掛程式自動採集的結果。

為什麼傳統資安防護難以偵測？

1. 用戶主動安裝：外掛程式通常是經由用戶主動安裝，且具備合法的簽章。
2. 低權限運行：它們不需要取得作業系統的高權限，只需取得「讀取所有網站資料」的瀏覽器權限即可運作。
3. 動態載入惡意代碼：有些外掛在過審時是乾淨的，但在安裝後的更新中才悄悄載入惡意腳本。

遠振資安的專業見解：這對企業與個人意味著什麼？

作為資安服務提供者，遠振資安認為此事件反映了三個關鍵趨勢：

1. 「憑證填充」（Credential Stuffing）攻擊將進入高峰

1.49 億筆明文帳密將成為駭客手中的原子彈。由於許多用戶習慣在不同平台使用相同的密碼，駭客會利用自動化工具，將這份名單拿到其他銀行、電商網站進行嘗試。即使你的銀行帳號沒出現在名單中，只要你曾用相同的密碼註冊過受影響的服務，你的資產就處於風險中。

2. 人性化漏洞成為企業資安的最弱環節

即使企業內部部署了 WAF（網站應用程式防火牆）或漏洞掃描工具，如果員工在公司電腦安裝了帶有惡意代碼的瀏覽器外掛，企業內網的權限仍可能被瞬間盜取。這再次證明了資安意識培訓（Security Awareness Training）的重要性。

3. 影子 IT（Shadow IT）的威脅擴大

員工為了提升效率，私自安裝未經 IT 部門核准的工具與外掛，這就是典型的「影子 IT」。當這些工具成為竊資工具時，企業往往在數據被盜取數月後才察覺。

應對策略：五大資安防護建議

面對如此規模的威脅，遠振資安建議採取以下具體行動：

第一：立即進行「密碼大掃除」

如果你懷疑自己的帳號在受影響之列，請立即更改密碼。建議使用隨機生成的強密碼，並避免跨平台重複使用。

第二：強制啟用多因素驗證（MFA/2FA）

這是防止帳號被盜最有效的手段。即使駭客掌握了你的帳號與密碼，若無法取得你的手機驗證碼或實體安全金鑰，也無法成功登入。對於 Gmail、Facebook、Binance 等具備 2FA 功能的服務，請務必開啟。

第三：清理瀏覽器外掛，定期審核權限

• 進入 Chrome 或 Edge 的外掛管理頁面。
• 刪除所有不常用或來源不明的外掛。
• 注意外掛所要求的權限。如果一個簡單的「黑暗模式」外掛要求「讀取與變更所有造訪過的網站資料」，這就是明顯的警訊。

第四：對企業主——建立終端設備控管原則

企業應實施端點管理，限制員工在辦公電腦上安裝擴充功能。同時，利用資安監控工具監測異常的對外流量（如連往不明 IP 的數據傳輸）。

第五：使用專業的密碼管理工具

不要依賴瀏覽器內建的儲存密碼功能，也不要將密碼記在記事本。使用如 Bitwarden 或 1Password 等專業工具，並設定高強度的 Master Password。

結論：資安不是一個終點，而是一個過程

1.49 億筆憑證外洩事件提醒我們，在網路世界中，沒有絕對的避風港。從 Jeremiah Fowler 的報告中，我們學到即使是看似細微的瀏覽器外掛，也可能演變成國家安全等級的危機。

遠振資安致力於為企業提供最前線的保護。無論是透過漏洞掃描（Vulnerability Scanner）預防外部入侵，還是藉由專業資安諮詢強化內部控管，我們都能協助您在威脅發生前做好準備。

現在就檢查您的帳號安全。別讓您的密碼，成為這 1.49 億個數字中的其中一個。

---

【遠振資安服務推薦】

• 網站弱點掃描：定期檢查您的 Web 服務是否存在被利用的漏洞。
• WAF 防火牆部署：阻擋惡意攻擊與異常流量。
• 資安教育訓練：提升員工辨識網路釣魚與惡意外掛的能力。