遭黑客入侵 谷歌：25亿Gmail用户需换密码

　　谷歌警告，全球约25亿名Gmail用户应立即更换密码并加强帐户安全。该公司指出，黑客近期已通过钓鱼邮件与社交工程等手法发动多起“成功入侵”，并呼吁用户启用双重验证以降低风险。

　　谷歌的威胁情报团队在6月首次发现黑客假冒IT人员进行社交工程攻击，并于8月初确认出现多起“成功入侵”。随后，该公司向受到影响的25亿Gmail用户发出通知，要求更新密码并加强安全。英国《独立报》和《纽约邮报》等媒体再次报道了这个消息。

　　根据谷歌说明，黑客常利用电子邮件附带的虚假登入页面来窃取密码，或通过诱骗用户分享双重验证（2FA）代码来突破防护。数据显示，多数用户虽然设置了高强度唯一密码，但仅约三分之一会定期更新，导致帐号长期暴露于风险之下。

　　除了传统的钓鱼邮件，安全专家警告，黑客还可能通过电话诈骗（vishing）假冒谷歌客服，要求用户提供验证代码；甚至利用美国650区号的假冒来电来增加可信度。Tom’s Guide指出，即使帐号已启用2FA，用户若被诱骗提供一次性代码（OTP），仍可能导致外泄。

　　风险不仅存在于用户端，谷歌近期亦遭遇自家Salesforce资料库被黑事件。公司表示，今年6月发现黑客假冒IT支援人员，通过社交工程手法实施攻击，成功欺骗部分员工。此次事件主要涉及中小企业的联络资讯等公开数据，但谷歌警告，相关手法未来可能被用于更严重攻击。

　　谷歌在6月一篇部落格文章中还提到，使用“ShinyHunters”名号的黑客组织可能正计划升级勒索手段，建立资料外泄网站（Data Leak Site, DLS），以对受害者施加更大压力。这一策略可能与近期涉及UNC6040组织的Salesforce相关资料外泄事件有关。

　　8月5月，谷歌公告确认多起由被泄露密码引发的“成功入侵”（successful intrusions）。随后，谷歌在8月8日向受影响的Gmail用户发出通知，要求更新密码并加强安全。

　　专家建议，用户在设置强密码的基础上，进一步采用Passkeys或生物辨识，形成第三层防线，以降低单纯依赖一次性验证码的风险。

黑客（黑客）成功入侵后，谷歌于2025年8月8日警告25亿Gmail用户换密码。(NICHOLAS KAMM/AFP/Getty Images)