根據資安研究團隊 Cybernews 的調查,2025 年上半年,研究人員共發現了超過 30 個外洩資料集(datasets),每組內容從數千萬筆到超過35億筆不等。這些資料集大多在未加密的 Elasticsearch 或雲端物件儲存空間中短暫開放,雖然目前尚無駭客實際掌控的證據,但光是可存取這些資料的可能性,就已讓整個網路安全圈震驚。
這些資料加總後,總共達到了驚人的 160 億筆帳號密碼紀錄,堪稱史上最大未曾報導過的資料外洩事件。
前 20 大外洩資料集一覽(最大單一檔案逾 35 億筆)
根據 Cybernews 公布的數據圖表,前 20 名的外洩資料集中,最大的一筆紀錄包含 35.64 億筆資料,其次是 28.92 億筆與 19.78 億筆等。
平均每筆資料集就含有 5.5 億筆登入憑證,對駭客來說,這些資料不僅代表可用帳號,更是進行身份冒用、釣魚攻擊與企業侵入的起點。
其中有些資料集命名為「logins」、「credentials」等通用詞彙,無法辨別來源;但也有命名揭示與特定平台有關,例如 Telegram、俄羅斯網站或某些雲端應用系統,顯示這些資料並非來自單一來源,而是多個惡意軟體(infostealers)長期蒐集的成果。
此次外洩並不是「舊資料重發」
研究團隊強調,這些資料並非舊資料重複流出,而是結構完整、收集方式明確,甚至包含登入 URL、帳號、密碼、Cookies、Token、系統元資料等。這樣的資料組合可供駭客用於自動化登入測試、帳號接管、以及量身打造的詐騙郵件。
這些外洩資訊來自各式平台,包括社群媒體(Facebook、Telegram)、雲端儲存服務(Google Drive、Apple ID)、開發者平台(GitHub),甚至有部分記錄指出與政府網站登入憑證有關。
誰該擔心?幾乎所有上網的人都在這波風險名單中
由於資訊來源廣泛,且內容結構雷同,研究團隊坦言無法精確估算有多少帳號為唯一記錄,重複性無法完全排除。但在 160 億筆紀錄面前,即使僅有 1% 成功導致帳號被盜,也足以影響數百萬人。
更值得注意的是,某些資料集來自名為 infostealers 的惡意軟體,使用者一旦中毒,其登入憑證便可能即時被送入駭客資料庫。這種資料庫不只被販售,也常被轉手重組成更龐大的集合檔案。
MOAB 之後的新紀錄?全球資料外洩正進入「超規模」時代
早在 2024 年,Cybernews 就曾揭露過號稱史上最大資料外洩事件 「Mother of All Breaches(MOAB)」,累積紀錄高達 260 億筆。但這次不同的是,這 160 億筆帳密資料並非來自單一事件,而是多重來源整合的「實戰攻擊藍圖」。
研究人員警告,這些資料正成為釣魚攻擊、帳號接管、勒索病毒、甚至企業郵件詐騙(BEC)活動的「燃料來源」。若企業沒有強化雙重驗證、多層防護與帳號行為監控,極可能成為下一個受害者。
無法阻止,就從防守做起:用戶應立即採取這些動作
雖然研究團隊強調這些資料並未長時間公開,也不清楚是否已被駭客下載,但對於一般用戶與企業端來說,立即進行資安健檢依然是必要行動:
更新與加強帳號密碼(採用密碼管理器)
啟用多因素驗證(MFA / 2FA)
檢查瀏覽器與系統中是否潛藏 infostealer
避免在可疑網站輸入登入資訊
若曾在不同平台重複使用密碼,應立即變更
這篇文章 史上最大帳號密碼外洩!高達 160 億筆帳密流出,涵蓋 Facebook、Google、Telegram 最早出現於 鏈新聞 ABMedia。
9.6萬 熱度
1.2萬 熱度
6847 熱度
17萬 熱度
5.1萬 熱度
史上最大帳號密碼外洩!高達 160 億筆帳密流出,涵蓋 Facebook、Google、Telegram
根據資安研究團隊 Cybernews 的調查,2025 年上半年,研究人員共發現了超過 30 個外洩資料集(datasets),每組內容從數千萬筆到超過35億筆不等。這些資料集大多在未加密的 Elasticsearch 或雲端物件儲存空間中短暫開放,雖然目前尚無駭客實際掌控的證據,但光是可存取這些資料的可能性,就已讓整個網路安全圈震驚。
這些資料加總後,總共達到了驚人的 160 億筆帳號密碼紀錄,堪稱史上最大未曾報導過的資料外洩事件。
前 20 大外洩資料集一覽(最大單一檔案逾 35 億筆)
根據 Cybernews 公布的數據圖表,前 20 名的外洩資料集中,最大的一筆紀錄包含 35.64 億筆資料,其次是 28.92 億筆與 19.78 億筆等。
平均每筆資料集就含有 5.5 億筆登入憑證,對駭客來說,這些資料不僅代表可用帳號,更是進行身份冒用、釣魚攻擊與企業侵入的起點。
其中有些資料集命名為「logins」、「credentials」等通用詞彙,無法辨別來源;但也有命名揭示與特定平台有關,例如 Telegram、俄羅斯網站或某些雲端應用系統,顯示這些資料並非來自單一來源,而是多個惡意軟體(infostealers)長期蒐集的成果。
此次外洩並不是「舊資料重發」
研究團隊強調,這些資料並非舊資料重複流出,而是結構完整、收集方式明確,甚至包含登入 URL、帳號、密碼、Cookies、Token、系統元資料等。這樣的資料組合可供駭客用於自動化登入測試、帳號接管、以及量身打造的詐騙郵件。
這些外洩資訊來自各式平台,包括社群媒體(Facebook、Telegram)、雲端儲存服務(Google Drive、Apple ID)、開發者平台(GitHub),甚至有部分記錄指出與政府網站登入憑證有關。
誰該擔心?幾乎所有上網的人都在這波風險名單中
由於資訊來源廣泛,且內容結構雷同,研究團隊坦言無法精確估算有多少帳號為唯一記錄,重複性無法完全排除。但在 160 億筆紀錄面前,即使僅有 1% 成功導致帳號被盜,也足以影響數百萬人。
更值得注意的是,某些資料集來自名為 infostealers 的惡意軟體,使用者一旦中毒,其登入憑證便可能即時被送入駭客資料庫。這種資料庫不只被販售,也常被轉手重組成更龐大的集合檔案。
MOAB 之後的新紀錄?全球資料外洩正進入「超規模」時代
早在 2024 年,Cybernews 就曾揭露過號稱史上最大資料外洩事件 「Mother of All Breaches(MOAB)」,累積紀錄高達 260 億筆。但這次不同的是,這 160 億筆帳密資料並非來自單一事件,而是多重來源整合的「實戰攻擊藍圖」。
研究人員警告,這些資料正成為釣魚攻擊、帳號接管、勒索病毒、甚至企業郵件詐騙(BEC)活動的「燃料來源」。若企業沒有強化雙重驗證、多層防護與帳號行為監控,極可能成為下一個受害者。
無法阻止,就從防守做起:用戶應立即採取這些動作
雖然研究團隊強調這些資料並未長時間公開,也不清楚是否已被駭客下載,但對於一般用戶與企業端來說,立即進行資安健檢依然是必要行動:
更新與加強帳號密碼(採用密碼管理器)
啟用多因素驗證(MFA / 2FA)
檢查瀏覽器與系統中是否潛藏 infostealer
避免在可疑網站輸入登入資訊
若曾在不同平台重複使用密碼,應立即變更
這篇文章 史上最大帳號密碼外洩!高達 160 億筆帳密流出,涵蓋 Facebook、Google、Telegram 最早出現於 鏈新聞 ABMedia。