如果你這兩天信箱一直收到 Instagram 的「重設密碼」通知,請先注意不要點擊任何裡面的重設密碼連結。雖然 Meta 官方在 1 月 12 日澄清系統未被駭客攻破,但資安機構卻在暗網發現了高達 1750 萬筆用戶個資外流。所以我們如果收到重設密碼的信該怎麼做?
IG 系統有漏洞,讓駭客透過 IG 發送重設密碼通知
這起事件的起因,是全球大量用戶在未操作的情況下,收到來自官方信箱的重設密碼郵件。
事後 Meta 發言人透過社群平台緊急澄清:「系統未被駭客攻破(No Breach),這是修復技術瑕疵過程中的誤會。」
因為根據資安公司 Malwarebytes 的報告,這起「密碼重設」事件背後,是有一個 API 漏洞允許第三方只要知道你的帳號,就能強制觸發重設密碼信件。雖然 Meta 強調此漏洞已修復,但這波騷擾攻擊證明了攻擊者手上確實握有大量用戶名單,才有辦法利用「知道帳號就能發送密碼重設信件」這個漏洞,像你寄送密碼重設要求。
暗網流出 1750 萬筆資料,你的個資可能外流
為什麼駭客知道要發信給你?這才是最讓人擔憂的部分。資安專家指出,暗網論壇流出一份源自 2024 年的個資清單,包含約 1750 萬筆 Instagram 用戶的詳細資訊,內容涵蓋:
- 用戶真實姓名
- 電子郵件地址
- 電話號碼
駭客利用這份名單結合上述的系統漏洞,發動大規模的重設密碼信件。他們的目的通常不是真的要幫你重設密碼,而是利用恐慌心理,誘使你點擊偽造的釣魚連結,或是測試這個帳號是否還由本人活躍使用。
你可能也會有個疑問:「既然使用者名單都外流了,為什麼 IG 還說沒有被駭?」
|
延伸閱讀 |
現在你該做的 3 件事
根據 Meta 官方建議,如果收到這封信就直接「刪除信件」、「不點連結」,但是當你收到這封信,表示你的 IG 個資已經流出,我們會建議嚴格執行以下步驟:
1. 不點連結、手動改密碼
收到任何要求重設密碼、安全驗證的 Email 或簡訊,一律視為釣魚,直接刪除或忽略。尤其這一波攻擊是利用 IG 的漏洞來發送密碼重設通知信,信件確實是 IG 官方發送的,但實際上背後卻是駭客在背後操控。
而且既然個資名單已流出,建議主動透過 IG 的 App 去更換一組「從未在其他網站用過」的複雜密碼。這能有效阻斷駭客利用「撞庫攻擊」(用 A 網站洩漏的密碼去試 B 網站)來入侵你的帳號。
2. 強制登出額外裝置
請立即進入 IG 設定,檢查 IG 設定「帳號管理中心」→「密碼和帳號安全」裡面的「你的登入位置」。
將所有不是你的裝置或地點全部登出。
3. 並開啟雙重驗證 (2FA)
務必開啟「雙重驗證」,且建議使用 驗證應用程式 (Authentication App) 而非單純的簡訊驗證,安全性會更高。
總結:不要小看 IG 帳號被盜,可能會有連帶影響
在駭客眼中,IG 帳號本身或許不值錢,但它是一把「鑰匙」。因為大多數人習慣在不同平台使用相同的「Email」和「電話號碼」作為登入憑證。一旦駭客透過釣魚連結拿到了你的 IG 權限,接下來通常能夠透過相同的手機號碼或 Email,嘗試攔截或重設你的 Google/Gmail 驗證碼。
如果幸運一點的話,駭客還可以進一步拿到你綁定在這些帳號(無論是 Google 還是 IG)的信用卡或網銀資訊,許多盜刷測試往往是從小額開始,當你發現網銀被鎖或收到鉅額帳單時,通常為時已晚。
所以,請養成一個「主動登入,被動無視」的習慣。任何安全警告,請自行打開 App 確認,永遠不要相信直接送到你眼前的連結,就像是你接到詐騙電話一樣,主動打去銀行或是政府單位確認自己的帳戶是否真的有狀況。
延伸閱讀》
不用密碼登入才安全!教你把密碼通通改成 Passkey 驗證登入
PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全
LINE 新增「偵測可疑網站」功能:一鍵防範惡意網站、保護 LINE 帳號技巧
蘋果大量發出駭客攻擊警告,當 iPhone 出現 3 大症狀請小心
如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、訂閱 IG、YouTube 以及 Telegram。
