近來有資安專家揭露「超過千萬筆電子郵件信箱外流」的事件,一度在網路上引發恐慌與媒體大幅報導,尤以「Gmail外洩、影響數百萬人」的說法最為吸睛。然而,此篇文章指出,事件真相遠比表面上的「駭入Google」複雜許多,也顯示出當代資訊安全報導中「資料外洩」與「資料再利用」之間模糊的界線。
此篇文章一開始引述資安專家Troy Hunt的揭露,他引用了美國資安研究生Ben在報告<The Stealer Log Ecosystem: Processing Millions of Credentials a Day>中的資料。該報告深入調查「竊資軟體」(Stealer malware)的運作機制,說明如何透過惡意程式感染個人電腦或裝置,竊取帳號與密碼,最終這些資料又如何在公開平台、論壇、Telegram通訊群組乃至暗網(Tor網路)間流傳。研究團隊從這些來源中搜集出規模龐大的外洩資料,並交由Hunt的非營利平台 Have I Been Pwned?(HIBP)建置可查詢資料庫,讓用戶能檢查自己是否在外洩名單中。
根據報導的細節,這批資料的龐大程度相當驚人:總計達 23億行、3.5TB 的資料量,其中最大的單一檔案就有2.6TB。資料內容多為網址、電子郵件信箱及密碼。Synthient提供的初步分析顯示,約 92% 的資料屬於過去已知的外洩事件所遺留資料,這些內容早已存在於HIBP的資料庫中。然而,剩下的 8% 新增資料,仍代表數以千萬計的新信箱紀錄,這也促成了輿論的高度關注。進一步分析發現,在總計近20億筆資料中,有1.83億筆為不重複信箱地址,其中有 1640萬筆從未出現在以往的外洩事件中。這項數據一度被一些媒體誤解為「Gmail新一波重大外洩事件」,引發了各界對Google資料安全的質疑與討論。
面對媒體報導的熱度,Troy Hunt與Google先後出面澄清。此篇文章詳述,Hunt特別指出,Synthient的資料集並非Gmail遭駭,而是因個人裝置被感染所產生的憑證外洩,Gmail地址之所以佔多數,是因為Google在全球的使用者基數龐大。這些資料並非源自Google伺服器遭入侵,而是「使用者端感染」的結果。Hunt也在文章中提到,HIBP網站近30天內達成了 174.5億次查詢請求,平均每秒處理約 6733次查詢,高峰甚至在一分鐘內達到 每秒42000次,顯示大眾對帳號安全查詢的依賴與需求不斷升高。
另一方面,Google則在社群平台X(前Twitter)上直接駁斥「Gmail外洩影響數百萬人」的指控,明確表示相關報導「不準確,是對竊資軟體資料的誤解」。Google說明,這些資料來源於多年來網路上零散蒐集的檔案,並非近期針對Gmail或Google系統的攻擊事件。文章最後指出,Google除重申Gmail的安全防護機制仍然穩固,也提醒使用者定期更新密碼、啟用「二步驟驗證」及「密鑰(passkey)」登入機制,以強化帳號保護。同時,公司已針對外部公開的憑證批次採取自動防護措施,如密碼重設與疑慮帳號提示。
