语言全球160亿组帐户密码外泄 香港暂无受影响报告 HKCERT呼吁用户尽快检视帐户安全加强警惕
(香港,2025年6月22日)香港网络安全事故协调中心(HKCERT)就近日国际报导的大规模资料外泄事件发出警示,全球累计超过160亿组帐户密码资料的文件于网上被公开,资料涵盖多个常用网络服务平台如Facebook、Google、Apple、GitHub、Telegram等主流服务。据了解,有关数据并非来自近期大规模入侵,而是将过往由资讯窃取恶意程式取得的帐户密码资料重新整合而成的资料库。
目前未有证据显示涉及香港用户或机构资料,HKCERT亦暂时未收到任何本地用户或机构就今次外泄事件的事故报告。HKCERT会继续密切监察事件的影响。尽管本地风险暂未浮现,黑客可利用这些资料进行钓鱼、盗用帐户、身份盗窃、勒索软件及商业电邮诈骗等攻击,HKCERT强调主动防护个人资料刻不容缓,呼吁市民与企业立即采取行动。
HKCERT紧急防护建议:
事件反映良好网络保安习惯及定期管理帐户凭证的重要性。有鉴于事件规模及潜在威胁,HKCERT建议用户及机构采取以下措施:
- 采纳零信任安全架构: 机构应积极推行“零信任”安全策略—无论用户或装置身处内部或外部网络,均不应自动信任,必须验证身份、实施最小权限原则及持续监察异常活动。
- 定期更改密码: 定期为所有重要帐户更改密码,并避免多个帐户共用同一密码。
- 启用多重认证(MFA):为主要帐户加设多重认证,提高安全层次。
- 重新登入装置:部分外泄资料包括登入Cookies及Session Tokens,或可绕过双重认证。建议用户登出所有活跃装置及重新登入,以减低风险。
- 监察帐户活动: 定期检查帐户有否异常登入,并在怀疑被盗时登出所有装置。
- 警惕钓鱼攻击: 小心处理可疑电邮、讯息及来电,切勿轻易提供个人或登入资料。
- 使用密码管理工具: 产生及储存强而独特的密码。
- 检查装置安全: 为电脑及手机进行全面防毒及恶意程式扫描,移除潜在威胁。
- 紧贴资讯保安消息: 关注HKCERT最新保安警报及最佳实践建议,获取即时威胁通报。
如需更多资讯或通报资讯保安事故,请浏览HKCERT官方网站www.hkcert.org,或致电24小时热线(852)8105 6060。
-完-
