連日來各大新聞網站都有報導 Gmail 有 5 百萬帳戶外洩,並呼籲大家到 IsL**ked 網站檢查自已的電郵有否被駭。其實於新聞剛發報之時,已經有大量網民踢爆所謂 5 百萬帳戶外洩實在是一件極有疑點之事件。這樣容易被踢爆之事件本應沒有甚麼關注空間,但很可惜事件一發不可收拾,甚至連主流媒亦有報導。
事實是於數月前有大量不同網上服務之帳戶電郵及密碼被上載於網絡上,這些帳戶及密碼不一定跟 Gmail 有關,但因為 Gmail 本身有大量用家,所以各種服務之帳戶電郵皆以 Gmail 為多。這些不同帳戶的擁有者可能於釣魚網站或其他方法洩漏了其密碼,當然其中也有用家之 Gmail 帳戶密碼跟其他服務之帳戶相同,以至同時間洩漏了其 Gmail 帳戶。
數月後,有人於法國登記了 IsL**ked.com 域名,於數月前外洩的各種帳戶中抽出帳戶電郵為 Gmail 的帳戶,並於兩日後即 9/9 23:55 於一個俄羅斯 bitcoin 討論區聲稱 Gmail 有 5 百萬帳戶外洩,同時提供帳戶外洩查詢服務。心水清的讀者應該會知道,這個是典型的釣魚網站運作方法。雖然這個在俄羅斯經營之網站在其網站說明不會記下網民查詢之電郵,但哪有騙徒會於行騙中承認自已是一個騙子?即使網民於 IsL**ked 查到了自已的電郵洩漏,亦不等如其密碼是 Gmail 帳戶,但可以肯定的是網民所輸入的電郵地址可以被儲存於其資料庫之中。
其後 Lifehacker 已經從其網站中移除 IsL**ked 網站,以免更多網民被騙。筆者呼籲各讀者,請確定你的電郵密碼不要跟其他網上服務相同,更好的做法是啟動 Gmail / Google 的二重登入服務,以杜絕密碼被盜取之風險。如果要管理多個網站之帳戶,可以考慮一些你信任的帳戶管理服務或軟件如 mSecure、LastPass 或Keepass 以協助管理帳戶。最後亦希望各媒體可以於報導前再三核實事件真偽,以免被騙徒利用。
參考資料:http://jameswatt.me/2014/09/10/isleaked-com-registered-2-days-before-gmail-leak-public/
