關於Gmail五百萬筆密碼洩漏傳聞與資安提醒

标签: Security | 发表时间:2014-09-10 22:30 | 作者:Jeffrey
出处:http://blog.darkthread.net/blogs/darkthreadtw/default.aspx

在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享。

本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了嗎?)。論壇管理者事後移除清單裡的密碼,只留下帳號,而貼出清單的原PO則再跑出來聲稱其中 60% 的密碼是有效的。

初步分析帳號名稱,主要來自英國、西班牙及俄羅斯,且看起來是長時間蒐集所得,部分帳號已改過密碼或停用。依 Google 的看法,並沒有證據顯示 Gmail 系統出現漏洞導致密碼被竊,而目前大家也較認同洩漏源自「密碼共用」。猜測為使用者在其他網站註冊會員時使用 Gmail 作為登入ID,同時又將密碼設定與 Gmail 相同,一旦該網站被駭或作業疏失造成帳號密碼外洩,就等同 Gmail 帳號密碼流入他人之手。

網路媒體 Mashable 則有更明確的資訊。依據資安專家 Matteo Flora 檢測:清單有 60 位他認識的人,經連繫,其中 30 位指出清單上的密碼從未用在 Gmail 或是年代久遠。另外,陸續有很多位名列清單的使用者證實,清單所指的密碼從未用於Gmail。由此推論,清單來自其他網站會員資料庫的可能性頗高。

有人寫了網站服務可以檢查自己的帳號是否在洩漏清單中,但提供者身分不明,要當心輸入的 Email 被拿來發垃圾信。(另外,如果將來出現網站要你輸入 Gmail 帳號密碼檢查有沒有外洩,千萬別 Key 呀!)如果有疑慮,建議馬上改密碼,這是絕無副作用的自保之道。

個人結論如下:

  1. 此次所謂 500 萬筆 Gmail 密碼,蒐集自其他網站註冊資料的可能情極高,應非 Gmail 服務出現資安漏洞,不需驚慌,若有疑慮,就把密碼換掉吧!Z > B。
  2. 不要共用密碼!不要共用密碼!不要共用密碼!很重要,所以說三次。
    每個網站的安全防護強度不一,全部共用同一組密碼,代表任一網站被破,所有網站身分的安全性都亮紅燈。擔心密碼太多記不住?請愛用 KeyPass
  3. 請善用「兩步驟驗證」, GmailHotmail 都已支援。既然電子郵件已是網路身分的重要依據,裡面又擺滿個資,沒理由不讓它更安全一點。啟用兩步驟驗證後,要用陌生機器登入,就需要簡訊認證,如此歹徒就算拿到密碼,沒有你的手機也無法登入。
  4. 遇到有好心網站要你提供 Email、帳號及密碼說要幫你尋找朋友、檢查帳號安全,輸入前請張大眼睛,當心被騙。

【參考資料】

相关 [gmail] 推荐:

Gmail不死,Gmail永生

- - SegmentFault 最新的文章
2013年7月,我们深爱着的Google Reader走了,一去不复返. 现在,我们形影不离的Gmail也要神秘失踪了吗. 不知不觉Mail客户端中Gmail邮箱已经快一个月没有收到邮件了,往日那些烦人的邮件此刻也都销声匿迹了,连CSDN的邮件都没有了,直觉告诉我有点不正常. 终于,在邮箱图标右边发现了一个小小的感叹号,原来连接有点问题,重连应该就可以了.

在 Gmail 里玩 Facebook

- 大狗 - 谷奥——探寻谷歌的奥秘
以前我们介绍过利用Gmail Labs里的Gadgets功能使用twitter的方法,今天再介绍一个使用Facebook的方法. 首先你需要到Gmail Labs里开启Gadget(如上图)这个实验项目,然后即可在设置里看到Gadgets选项了,进入后是一个让你输入URL地址的地方:. 然后将Facebook for Gmail gadget的地址输入进来:.

用 gmail 发送补丁

- khsing - A Geek's Page
如果你使用 gmai l帐户,想通过 git send-email 发送补丁的话,需要加几个额外的参数,如下所示,. 或者用git config进行相应的设置,.

Gmail、Google Reader工具合集

- 三心 - 天涯海阁-Web2.0Share
这些工具本人没有全部试过,所以不排除有些工具可能已经失效:). GCount - 新邮件通知,仅能运行于Mac OSX. gDisk - 将Gmail变为网络存储空间,仅能运行于Mac OSX. gFeeder - 小型的Feed阅读器. GetMail - 将邮件从Hotmail转移到Gmail.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

警惕Gmail 钓鱼邮件

- 独钓寒江雪 - 阿禅日记
思想挣扎了很久,博客还是要更新的,不管是哪一个. 在编辑器里打字总能让烦躁的心情平服下来. 这两天我收到了两封来自 kuntash9@gmail.com 的邮件,标题与内容都不一样,带附带的附件都是一个大小为70KB的.doc 文档. 我在Gmail 里用预览查看.doc 附件,发现里面只有一幅不到100px*100px的黑白正方形线框图,我觉得这样的.doc 文件大小不可能有70KB,于是就怀疑这是钓鱼邮件.

我们向Gmail学什么?

- Renz - Ray is thinking
Gmail,我心目中最伟大的互联网应用,一个访问量超Youtube的单一产品站点,一个重新定义Email这个单词的产品. 我们能够从Gmail的成功中学习到什么. 它就像一部红楼梦,“经学家看见《易》,道学家看见淫,才子看见缠绵,革命家看见排满,流言家看见宫闱秘事”. 2004年4月1日,Google宣布推出Gmail,愚人节发布新产品,媒体不相信,用户也不信,大家都把它当作一个笑话.

小心输入Gmail密码

- Eneri - 张磊的blog
最近在使用gmail时,会遇到原本登录的情况下还会提示输入用户名密码的情况. 感觉蹊跷就检查了一下页面源代码,果然是钓鱼行为. 我用gmail都是直接点击Google工具栏的按钮,但在家里和公司的电脑都会被劫持,特别地,家里在用Mac公司是Windows,不可能同时中了一样的木马. 应该是运营商(两边的网络都是北京联通)做了手脚问题出在网络上.

离线功能回归Gmail

- Myheimu - 驱动之家新闻_最新新闻
千呼万唤始出来──用这句话形容离线版Gmail、Google Docs 和 Google Calendar一点不为过,尤其是在Google一刀切取消了以前用于离线的Google Gears之后,大家就一直在等待一个离线版的应用解决方案,在Chromebook发布之后其意义更加重大. 今天Google终于宣布了可让Chrome实现离线的网页应用Gmail Offline ,该应用完全基于HTML5打造,界面则基于Gmail的平板界面(这是最让人不满的),在你没有网络连接的情况下,通过Chrome打开这个离线网页应用,即可管理自己的Gmail邮件了.

警惕 WebQQ2.0 的 Gmail 钓鱼

- Choope - Gracecode.com
WebQQ 2.0 上线,腾讯又多了款重量级的应用,但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑. 当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站. 展开这个页面的 iframe 地址,发现是在 qq.com 域下. 但页面的形式与 Google 的风格一致,非常能让用户混淆这就是 Google 自家的页面.