史上最大帐号密码外泄！高达 160 亿笔帐密流出，涵盖 Facebook、Google、Telegram

根据资安研究团队 Cybernews 的调查，2025 年上半年，研究人员共发现了超过 30 个外泄资料集（datasets），每组内容从数千万笔到超过35亿笔不等。这些资料集大多在未加密的 Elasticsearch 或云端物件储存空间中短暂开放，虽然目前尚无骇客实际掌控的证据，但光是可存取这些资料的可能性，就已让整个网路安全圈震惊。

这些资料加总后，总共达到了惊人的 160 亿笔帐号密码纪录，堪称史上最大未曾报导过的资料外泄事件。

前 20 大外泄资料集一览（最大单一档案逾 35 亿笔）

根据 Cybernews 公布的数据图表，前 20 名的外泄资料集中，最大的一笔纪录包含 35.64 亿笔资料，其次是 28.92 亿笔与 19.78 亿笔等。

平均每笔资料集就含有 5.5 亿笔登入凭证，对骇客来说，这些资料不仅代表可用帐号，更是进行身份冒用、钓鱼攻击与企业侵入的起点。

其中有些资料集命名为「logins」、「credentials」等通用词汇，无法辨别来源；但也有命名揭示与特定平台有关，例如 Telegram、俄罗斯网站或某些云端应用系统，显示这些资料并非来自单一来源，而是多个恶意软体（infostealers）长期搜集的成果。

此次外泄并不是「旧资料重发」

研究团队强调，这些资料并非旧资料重复流出，而是结构完整、收集方式明确，甚至包含登入 URL、帐号、密码、Cookies、Token、系统元资料等。这样的资料组合可供骇客用于自动化登入测试、帐号接管、以及量身打造的诈骗邮件。

这些外泄资讯来自各式平台，包括社群媒体（Facebook、Telegram）、云端储存服务（Google Drive、Apple ID）、开发者平台（GitHub），甚至有部分记录指出与政府网站登入凭证有关。

谁该担心？几乎所有上网的人都在这波风险名单中

由于资讯来源广泛，且内容结构雷同，研究团队坦言无法精确估算有多少帐号为唯一记录，重复性无法完全排除。但在 160 亿笔纪录面前，即使仅有 1% 成功导致帐号被盗，也足以影响数百万人。

更值得注意的是，某些资料集来自名为 infostealers 的恶意软体，使用者一旦中毒，其登入凭证便可能即时被送入骇客资料库。这种资料库不只被贩售，也常被转手重组成更庞大的集合档案。

MOAB 之后的新纪录？全球资料外泄正进入「超规模」时代

早在 2024 年，Cybernews 就曾揭露过号称史上最大资料外泄事件 「Mother of All Breaches（MOAB）」，累积纪录高达 260 亿笔。但这次不同的是，这 160 亿笔帐密资料并非来自单一事件，而是多重来源整合的「实战攻击蓝图」。

研究人员警告，这些资料正成为钓鱼攻击、帐号接管、勒索病毒、甚至企业邮件诈骗（BEC）活动的「燃料来源」。若企业没有强化双重验证、多层防护与帐号行为监控，极可能成为下一个受害者。

无法阻止，就从防守做起：用户应立即采取这些动作

虽然研究团队强调这些资料并未长时间公开，也不清楚是否已被骇客下载，但对于一般用户与企业端来说，立即进行资安健检依然是必要行动：

更新与加强帐号密码（采用密码管理器）

启用多因素验证（MFA / 2FA）

检查浏览器与系统中是否潜藏 infostealer

避免在可疑网站输入登入资讯

若曾在不同平台重复使用密码，应立即变更

这篇文章 史上最大帐号密码外泄！高达 160 亿笔帐密流出，涵盖 Facebook、Google、Telegram 最早出现于 链新闻 ABMedia。