全球25億Gmail的個資外洩？Google最新聲明曝光，建議啟用「1功能」保護帳戶

日前傳出，駭客組織 ShinyHunters 入侵 Google 透過 Salesforce 管理的資料庫，竊取大量客戶聯繫資料，駭客假冒 Google 撥打650區碼電話、發送釣魚郵件，要求用戶提供驗證碼或重新登入，部分帳號已遭駭客以常見密碼強行破解，甚至以「no-reply@accounts.google.com」名義寄出通知，詐騙用戶的帳號與密碼，竊取金融個資，有25億用戶可能遭受影響。而Google已在官方部落格發文嚴正澄清，相關說法「完全不實」，從未對所有使用者發布任何安全通知。

Gmail 25 億密碼外洩是誤傳？官方澄清了

根據《每日郵報》報導，駭客組織 ShinyHunters3月成功入侵 Google 透過 Salesforce 雲端平台管理的資料庫，他們利用社交工程誘騙一名 Google 員工交出登入憑證後，竊取公司文件與客戶聯繫資訊，雖然Google 強調密碼未外洩，但詐騙者已大舉展開行動，假冒 Google 撥打詐騙電話、發送釣魚郵件，企圖奪取用戶帳號與私人資料。

資安專家James Knight 指出，駭客正大量進行語音詐騙（vishing），假裝來自 Google，要求用戶提供驗證碼或重新登入。如何辨識真假？ Knight 強調，「如果你接到自稱 Google 的來電或簡訊，九成以上都是假的。」目前已有 Gmail 用戶回報接到來自 650 區碼的假電話，受害者一旦上當，可能被鎖帳，甚至檔案遭竊。

除了電話詐騙，駭客也直接測試常見密碼（如「password」），企圖強行登入帳號，Knight 呼籲 Gmail 用戶立即檢查密碼強度，避免重複或簡單密碼，並啟用 多重驗證（MFA）。

他提醒，「第一，務必開啟多重驗證；第二，設定獨特且強韌的密碼；第三，進行 Google 安全檢查，找出帳號漏洞。」

「無回覆」電子郵件詐騙

根據《每日郵報》報導，這種稱作「無回覆」電子郵件攻擊，信件標示寄件者為「no-reply@accounts.google.com」，並偽稱Google收到執法機關傳票，要求提供用戶帳號的完整資料。

用戶若收到這類郵件，切勿點擊任何連結，更不要輸入帳號密碼。因為這其實是一場假冒Google的詐騙攻擊，目的是竊取個資與金融資料。

一旦受害者點擊信中連結，將被導向偽造的Google登入頁面。輸入帳號密碼後，會觸發惡意應用程式授權機制，使詐騙集團得以存取Gmail信件、密碼、銀行資訊甚至信用卡明細。

Google曾強調，公司不會透過電子郵件主動索取密碼、帳戶存取權限或其他敏感資訊。使用者若接收到內容涉及執法機關、資料查調或安全警告的可疑信件，務必第一時間刪除，並避免點擊信中任何連結。

Google澄清：安全警報是假消息

​Google官方於9月1日在官方部落格發文嚴正澄清，Gmail 的防護功能強大且有效，關於「Gmail 存在重大安全漏洞」的說法是錯誤的。

​聲明全文：​

我們希望向所有使用者保證，Gmail 的防護功能強大且有效。近期出現一些不實說法，錯誤地聲稱我們向所有 Gmail 使用者發出了關於「Gmail 存在重大安全問題」的廣泛警告。這完全是子虛烏有的。

儘管網路釣魚者總是試圖尋找方法入侵收件匣，但我們的防護功能持續成功阻擋超過 99.9% 的網路釣魚和惡意軟體攻擊，使其無法觸及使用者。

安全對所有公司、客戶和使用者來說都至關重要，我們對這項工作極為嚴肅看待。我們的團隊投入大量資源、持續創新並清楚溝通我們所採取的風險防護措施。在這個領域，確保資訊準確無誤、基於事實是至關重要的。

為了獲得額外的保護，我們鼓勵使用者採取最佳做法，例如使用更安全的密碼替代方案（如 Passkeys），並遵循這些最佳做法來識別與回報網路釣魚攻擊。

資料來源：《每日郵報》、《每日郵報》、《nick.eth》
（相關報導： 160萬元全被騙光！台灣又有網路詐騙新招「銀行存款瞬間蒸發」，這平台很多人常用 ｜ 更多文章 ）

責任編輯／陳得馥