刑事局曾破獲歹徒將生日、電話等個資,破解數百名Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。這不是個案,跨國軟體大廠Citrix的GoToMyPC團隊在6月19日的安全訊息中通知重要客戶出現「複雜的密碼攻擊」,要求所有客戶立即重設密碼,這是因為前幾天被發現且適時回報的安全問題,那時使用者聲稱無法登錄帳號,他們建議使用者透過網站上的忘記密碼選項來重設密碼。
在此道歉啟事過後,該團隊在6月20日披露了更多相關分析結果。Citrix的產品線總監John Bennett在一份聲明中指出:「Citrix確認最近所發生的事件是密碼重複使用攻擊,攻擊者使用來自其他網站所洩漏的使用者名稱和密碼來存取GoToMyPC使用者的帳號,此外,並沒有發現其他Citrix產品線遭受攻擊」。
該聲明強調並無客戶敏感資料(如信用卡資訊)被取出系統。除了強制重設密碼外,該公司還強烈建議啟用雙因子認證,好在此事件過後建立更緊密的防禦措施。
幾乎就在同一時間,受歡迎的程式碼儲存平台Github在6月14日禮拜二發現類似的攻擊,出現對使用者帳號可疑而未經授權的存取嘗試。此網頁Git程式庫代管服務擁有14萬名的使用者。
安全副總Shawn Davenport在網路聲明中指出,「在美國時間的週二晚上,我們發現對大量GitHub.com帳號未經授權的存取嘗試。看起來是利用之前其他網路服務被駭所流出的電子郵件地址和密碼,用來嘗試登入GitHub帳號,我們立即展開調查,發現攻擊者已經能夠登錄一些GitHub帳號」。
在此之外,Davenport進一步說明,除了使用者名稱和密碼,受影響帳號「可存取資料庫和組織的列表」可能也已經外洩給攻擊者,鑑於此一發現,該公司聲明已經進入通知受影響使用者的程序。
跟Citrix的GoToMyPC服務類似,Github強烈建議使用者養成良好的密碼習慣。除此之外,雙因子認證也被認為能夠為使用者帳號建立另一層有效的防護。
而關於被用來嘗試進入這些網站服務的帳號密碼來源,安全專家和分析人員很快地認為跟最近接連發生的社群網站大規模資料外洩事件有關。
在6月早些時候,綽號「Peace」的駭客聲稱是網路犯罪地下市場大量tumblr、LinkedIn、Fling、MySpace被竊身分認證資料的擁有者。而在不久之後,俄羅斯的社群網站VK.com也加入資料外洩的行列,其資料到現在為止都可以在地下市場取得。
[延伸閱讀:最近所報導「大規模資料外洩」的相關摘要]
整體而言,三年來資料外洩事件所產生的被竊身分認證資料超過6.42億筆。安全專家指出,經過這些駭客事件之後,對不同網站和網路平台進行登入嘗試的數量在不斷增加,也提高了不當登錄的危險。
在五月接近尾聲時,微軟發布命令禁止使用出現在近期外洩列表或常見於攻擊者用來嘗試的密碼,這作法已經對Azure Active Directory內超過1,000萬的使用者生效。
然而,這也引來安全研究人員和業界人士的聲音。MIRACL執行長在一份聲明中分享,「當像微軟這樣的公司禁止某些密碼或要求消費者建立更強的密碼,基本上是將難題丟給消費者,因為他們沒有更好的主意來處理密碼問題。」他補充說,「有更好的做法來解決需要使用名稱和密碼的問題。」
不過微軟堅持其論點,指出此舉是為了改變使用者思考密碼策略的方式。根據該公司所說,密碼長度要求、密碼複雜性要求、定期更換密碼都已經不再足夠。事實上,這些讓網路犯罪分子在破解密碼上少了更多工。微軟的身份保護小組成員Robyn Hicock強調,「當面對類似的限制時,人們會用可預測的方式反應 – 這會加劇使用者傾向去挑選錯誤的密碼並重複使用密碼。」
@原文出處:Reused Password Attacks Rise Following String of Mega-Breaches