史上最大帳號密碼外洩！高達 160 億筆帳密流出，涵蓋 Facebook、Google、Telegram

根據資安研究團隊 Cybernews 的調查，2025 年上半年，研究人員共發現了超過 30 個外洩資料集（datasets），每組內容從數千萬筆到超過35億筆不等。這些資料集大多在未加密的 Elasticsearch 或雲端物件儲存空間中短暫開放，雖然目前尚無駭客實際掌控的證據，但光是可存取這些資料的可能性，就已讓整個網路安全圈震驚。

這些資料加總後，總共達到了驚人的 160 億筆帳號密碼紀錄，堪稱史上最大未曾報導過的資料外洩事件。

前 20 大外洩資料集一覽（最大單一檔案逾 35 億筆）

根據 Cybernews 公布的數據圖表，前 20 名的外洩資料集中，最大的一筆紀錄包含 35.64 億筆資料，其次是 28.92 億筆與 19.78 億筆等。

平均每筆資料集就含有 5.5 億筆登入憑證，對駭客來說，這些資料不僅代表可用帳號，更是進行身份冒用、釣魚攻擊與企業侵入的起點。

其中有些資料集命名為「logins」、「credentials」等通用詞彙，無法辨別來源；但也有命名揭示與特定平台有關，例如 Telegram、俄羅斯網站或某些雲端應用系統，顯示這些資料並非來自單一來源，而是多個惡意軟體（infostealers）長期蒐集的成果。

此次外洩並不是「舊資料重發」

研究團隊強調，這些資料並非舊資料重複流出，而是結構完整、收集方式明確，甚至包含登入 URL、帳號、密碼、Cookies、Token、系統元資料等。這樣的資料組合可供駭客用於自動化登入測試、帳號接管、以及量身打造的詐騙郵件。

這些外洩資訊來自各式平台，包括社群媒體（Facebook、Telegram）、雲端儲存服務（Google Drive、Apple ID）、開發者平台（GitHub），甚至有部分記錄指出與政府網站登入憑證有關。

誰該擔心？幾乎所有上網的人都在這波風險名單中

由於資訊來源廣泛，且內容結構雷同，研究團隊坦言無法精確估算有多少帳號為唯一記錄，重複性無法完全排除。但在 160 億筆紀錄面前，即使僅有 1% 成功導致帳號被盜，也足以影響數百萬人。

更值得注意的是，某些資料集來自名為 infostealers 的惡意軟體，使用者一旦中毒，其登入憑證便可能即時被送入駭客資料庫。這種資料庫不只被販售，也常被轉手重組成更龐大的集合檔案。

MOAB 之後的新紀錄？全球資料外洩正進入「超規模」時代

早在 2024 年，Cybernews 就曾揭露過號稱史上最大資料外洩事件 「Mother of All Breaches（MOAB）」，累積紀錄高達 260 億筆。但這次不同的是，這 160 億筆帳密資料並非來自單一事件，而是多重來源整合的「實戰攻擊藍圖」。

研究人員警告，這些資料正成為釣魚攻擊、帳號接管、勒索病毒、甚至企業郵件詐騙（BEC）活動的「燃料來源」。若企業沒有強化雙重驗證、多層防護與帳號行為監控，極可能成為下一個受害者。

無法阻止，就從防守做起：用戶應立即採取這些動作

雖然研究團隊強調這些資料並未長時間公開，也不清楚是否已被駭客下載，但對於一般用戶與企業端來說，立即進行資安健檢依然是必要行動：

更新與加強帳號密碼（採用密碼管理器）

啟用多因素驗證（MFA / 2FA）

檢查瀏覽器與系統中是否潛藏 infostealer

避免在可疑網站輸入登入資訊

若曾在不同平台重複使用密碼，應立即變更

這篇文章 史上最大帳號密碼外洩！高達 160 億筆帳密流出，涵蓋 Facebook、Google、Telegram 最早出現於 鏈新聞 ABMedia。