Google 最近再次澄清,針對用戶的資料安全問題並未發生大規模外洩事件。數月前,Google 已經對有關 Gmail 服務出現的保安問題發表聲明。本週,有報導指稱有 1.83 億個密碼可能在最新一波資料外洩中被盜後,Google 再度針對這一消息作出澄清。
根據 Google 在 X 平台的公告,受影響帳戶並非新攻擊的受害者,而是最近被納入資料外洩搜尋引擎 Have I Been Pwned 的資料庫中。Have I Been Pwned 是一個免費的工具,能快速告知用戶其個人資料是否曾遭黑客攻擊。網站創始人 Troy Hunt 在其博客中提及,超過 90% 的幾百萬被盜憑證早已出現於網上,並非全新資料。不過,Hunt 也指出,當中有 16.4 萬個電郵地址是首次出現在資料外洩事件中。
安全專家指出,這類外洩資料來源於 infostealer 惡意軟件,這些軟件在受感染的裝置上悄悄收集登入資料,然後在黑暗市場出售。外洩資料主要涉及網站地址、電郵地址及密碼。根據資料,外洩事件發生在 2025 年 4 月,但直到 10 月,Troy Hunt 才將這些資料整合至 Have I Been Pwned,暗示這些被盜憑證在犯罪網絡中流傳了一段時間後才被公開。
Google 在聲明中指出,關於「Gmail 保安漏洞影響數百萬用戶」的報導並不正確,強調 Gmail 的防禦系統極為強大,用戶的安全依舊有保障。這些不準確的報導源於對 infostealer 資料庫的誤解,而這些資料庫定期匯總網絡上的各類憑證竊取活動,並不針對任何個人或平台發起新攻擊。
Google 還提到,該公司確實會從類似最近上載至 Have I Been Pwned 的公開憑證資料庫中,向用戶發出外洩警報。建議用戶啟用雙重驗證,並採用 passkey 作為比單獨使用密碼更安全的選擇。Google 重要提示,如察覺密碼被外洩,應立即進行重設。
用戶可以訪問 HaveIBeenPwned.com 來檢查個人資料是否外洩。該網站會提供與用戶電郵地址相關的任何已知外洩事件的詳細時間表及來源概覽。如用戶發覺憑證被標記,應立刻更改密碼並啟用雙重驗證。
