MEGA云端空间爆出7.73亿笔账号、2,122万笔密码遭外泄的近年最大宗帐密外泄事件！（含查询教学&解决办法）

MEGA 云端空间 爆出 7.73 亿笔账号、 2,122 万笔密码遭外泄的近年最大宗帐密外泄事件 ！（含查询教学&解决办法）

来自外媒 Forbes 的报导，在 MEGA 云端空间上有份名为“Collection #1”的数据库，内有超过 12,000 个资料夹、收录大量遭到外泄的账号与密码。目前粗估共约有高达 7.73 亿笔账号、 2,122 万笔密码遭到外泄。
此事件是来自“Have I Benn Pwned?”网站的安全研究人员 Troy Hunt 所公布。他接获通报指出有大量账号密码已公开权限存放在 MEGA 云端空间上，且这些资料都来自骇客的地下论坛，经他整理后表示光是这分外泄的资料就高达 87GB ，由 2,980 起数据攻击事件合并而成，并命名为“Collection #1”。

此次 MEGA 云端空间的帐密外泄事件，堪称近年来最大宗的数据外泄事件。即便该数据库已经在 MEGA 上遭到删除，但 Troy Hunt 已经发现他正在骇客论坛被广泛分享。
如果各位想暸解自己的 MEGA 云端空间帐密是否也在这次遭受波及的行列，可透过“Have I Benn Pwned?”网站来查询。

如何查询自己的账号/密码是否遭外泄？

Troy Hunt 将这起 MEGA 云端空间“Collection #1”的数据上传到数据揭露通知网站“Have I Benn Pwned?”，让众人可以在该网站查询自己的帐密是否受到影响。不只这次的事件，过去包括 Dropbox 、 Adobe 、 Tumblr 等 340 个网站被入侵账号的详细信息都能透过这个网站来查询。

Have I Benn Pwned? ：点我前往

查询账号是否遭外泄？

在网站首页的 Email 字段输入自己目前有在使用的 Email ，并按下“pwned?”查询。若该账号是没有遭受过外泄事件影响，则会显示绿色的“Good news no pwnage found!”：

反观如果该 Email 是曾遭受到外泄事件影响，则会显示红色的“Oh no pwned!”画面：

这时将网页画面往下就会看到该 Email 曾经在哪些网站影响。以笔者示范的这组 Email 就曾经在发生于 2013 年 10 月 Adobe 的事件中有 Email 、 密码提示、密码、用户名称皆遭到泄漏；另外在 2013 年上旬， Tumblr 的事件中 Email 和密码也都受影响：

查询密码是否遭外泄？

如果想查询自己任一个网站所使用的密码是否也曾被外泄，则可点选网页上方的“Passwords”查询密码：

若密码未曾遭到外泄，则一样会以绿色显示：

若发现自己的账号/密码已外泄，该如何因应？

如果不幸发现自己的帐密遭外泄，请立即进行以下处理方式：

步骤一、立刻更改密码

如果查询后发现自己的帐密遭外泄，请立即更换密码。而且建议在各网站的帐密规范内，尽可能选择强度高的英数字组合、甚至加入特殊符号，并养成定期变更密码的习惯。
此外，避免在多个平台的账号使用同样一组帐密，否则即便 A 网站的帐密未外泄、 B 网站却外泄，当两个地方都使用同一组帐密，那么另一个网站的帐密被发现也只是早晚的事。
在去年底，我们电脑王阿达团队也介绍过“这些密码绝不能使用 国外公布 100 个最糟糕、容易被破解的密码名单”，这些密码可千万避免呀！

步骤二、设定两阶段验证

不少网站目前都已经支援了“两阶段验证”，当陌生的装置首次登入时，不只要输入正确的密码，还必须输入手机上的验证码才能登入。因此即便骇客获得你的帐密也无法立即破解。这里就简单介绍该如何在 MEGA 云端空间设定两阶段验证功能。
首先，下载 MEGA App （下载连结： iOS / Android）并登入 MEGA 账号。接着依序点选“设定”>“安全选项”>“两阶段验证功能”：

选择“Begin Setup”>“开启于…”，接下来会需要下载 Google Authenticator App 产生两步骤验证码，若还未下载可直接从这步骤导向 App 商店自行搜寻下载。（下载连结： iOS / Android）
当手机内已经有 Google Authenticator App ，则可直接点选“Open”引导开启 App：

开启后，依照指示选择 Scan barcode 开启扫描条码：

接着前往电脑登入 MEGA 云端账号，并且前往“设定”>“安全性”，选择“两阶段验证功能”将其启用。这时画面会出现一个中码，只要将 Google Authenticator App 扫描该条码，在 Authenticator App 就会出现上图最右方的两步骤验证码。

得到验证码后，将它输入到电脑页面并送出即完成。

此外，像是 Google 、 Microsoft 、 Facebook 、 Apple 等网站都已经有提供两阶段认证可供用户申请，相关运作说明连结整理如下：

• Google 两步骤验证：点我前往
• Microsoft 双步骤验证：点我前往
• Facebook 双重认证：点我前往
• Apple ID 双重认证：点我前往

消息来源： Forbes ｜ Troy Hunt

延伸阅读：
这些密码绝不能使用 国外公布 100 个最糟糕、容易被破解的密码名单