500万Gmail账户泄露？谷歌：那是撞库+钓鱼的把戏

　　英国《每日邮报》9月10号曾爆料谷歌邮箱数据库遭黑客攻击，黑客在一家俄罗斯网站——“比特币安全”（Bitcoin Security）上公布了近500万个谷歌账号的信息和密码，并声称其中60%的账户信息都有效。当一名ID为tvskit的用户在社交新闻网站Reddit上贴出了“比特币安全”网登陆凭证的一个链接后，此次泄露事件才曝光。

　　对于此次“入侵”事件，谷歌发言人第一时间声称：

　　没有证据证明谷歌的系统被入侵，并且表示，事实上，甚至没有证据证明这些信息是真实的。

　　由于恰逢“好莱坞艳照门”爆发，公共云服务的用户信任度降至冰点，谷歌还是感受到了相当大的危机公关压力，不但第一时间引导失窃账户更换用户名密码，事件调查的效率也是比平时高了不少。

　　今天，谷歌在自己的信息安全博客中发布分析结果，指出“tvskit”所声称的“泄露的500万Gmail账户密码60%都有效”的说法与事实有很大出入，谷歌对泄露账户进行分析后发现只有2%的账户密码有效。

　　谷歌的反垃圾信息和滥用团队在分析中指出：

　　谷歌的自动化反劫持系统能够阻止大多数（账户攻击）登录尝试。对于那些少数受到影响的账户，我们已经要求相关用户重置密码。

　　那些所谓泄露的Gmail账户密码很可能是其他网站泄露的用户数据的大杂烩，因为很多用户在多个网站使用相同的账户密码。此外，还有一些是因为攻击者使用恶意软件和钓鱼攻击获取用户账户。建议用户尽量使用强密码，并开启Gmail的两步认证。

　　安全牛点评：俄罗斯网络论坛近来猛料不断，接连爆出海量用户账户数据库，除了俄罗斯本国的互联网企业Mail.ru（470万用户数据泄露）和Yandex（130万）之外，最刺激眼球的莫过于今年8月传出的”俄罗斯黑客集团盗窃了12亿用户密码”，安全牛在深入分析调查后，发现该事件存在人为炒作痕迹（详见：12亿密码泄露，是安全末日还是公关骗局？）。同样是借助感染力最强的主流媒体（纽约时报），同样，事件背后的推手公司Hold Security“及时”而“贴心”地向惊慌失措的人们提供检验密码是否泄露的网站，此举有账户密码钓鱼之嫌。

　　巧合的是，伴随此次“500万Gmail账户泄露”也出现了一个检验账户密码是否泄露的网站，建议读者不要冒然尝试，既然谷歌已经逐条审查了泄露的数据库，您大可以留意一下自己的Gmail邮箱是否收到重置密码的通知，同时尽可能启用Gmail的两步验证服务，这才是上策。