Gmail﹑IG﹑Netflix等多个平台　被爆外泄1.49亿份资料｜资安研究员 Jeremiah Fowler 日前揭露，一个容量高达 96GB 的资料库在互联网上被发现完全未加密公开，内含多达 1.49 亿个用户帐号与密码，涉及平台横跨 Gmail、Facebook、Instagram、iCloud、Netflix、OnlyFans、金融机构帐户，甚至包括多个 .gov 政府网域帐号。

这不是单一平台的系统漏洞，而是一个集中式资料库被曝光。任何人只要取得网址，就能直接浏览、搜寻甚至下载内容，帐号、电邮、密码、登入页面网址与 API 授权位置一览无遗。对黑客而言，这并非资料，而是一座即开即用的金矿。

为何今次事件被形容为极罕见级别？

Jeremiah Fowler 指出，这个资料库在曝光当下是完全没有任何加密与存取限制的。换言之，没有黑客技术、没有破解流程，只要打开网址，任何人都能取得所有内容。这种情况在近年的资安事件中属于极端少见，因为大部分外泄事故至少仍有部分保护层。

更令人不安的是，Fowler 在追踪期间发现，资料库内容仍然持续增加，显示它并不是一个静态备份，而是可能与某种正在运作中的恶意系统相连。资料正在被不断收集、上传、汇整，形成一个活跃运作的帐密集中库。即使资料库目前已被下架，但在曝光期间，内容极可能已被大量下载、复制或转传。

从 Gmail 到 Netflix，几乎全面被涵盖

今次事件的可怕之处，在于其横跨范围几乎覆盖多个常用的网站。电邮帐号被破解，等同所有其他平台的“钥匙”落入他人手中；社交帐号被入侵，不只涉及私隐，还可被用作诈骗亲友；影音平台帐户则可用于转售牟利；金融与加密钱包帐户更直接牵涉真金白银。Fowler 亦指出，这些资料可被用作进一步的钓鱼攻击、身份冒充、社交工程诈骗与企业入侵。

尽快更改密码！

一旦密码被黑客掌握，哪怕只是一次短暂曝光，也足以被用来自动化测试登入其他平台。现代黑客并不需要逐个尝试帐号，只要有一组成功登入，就能用程式瞬间测试成千上万个网站。若用户习惯重复使用密码，一次外泄就等于全面失守。因此，有使用以上平台的用家，应尽快更改密码。

加设双重验证

在今次 1.49 亿笔资料外泄事件下，唯一能真正阻止黑客即时入侵的防线，就是双重验证。即使密码被掌握，只要没有即时取得第二层验证码，登入仍然无法完成。