【自掘陷阱】「Password」作密碼 招致1,500萬美金勒索
危險的密碼比比皆是,愈簡單的密碼,如生日日期、超級英雄的名字、連續的數字等,愈容易遭撞破。但人類的確總是重複犯錯,仍舊貪一時之快,以最簡單的方法設定密碼,甚至將「Password」本尊設為密碼。早前「Password」又肇禍,黑客藉此入侵伺服器竊取數據,並向受害者發出 1,500 萬美元的贖金要求。
今次的受害者是 TransUnion 的南非分部,手持超過 2,400 萬南非居民的信用資料。攻擊者是一個自稱叫 N4ughtysecTU 的巴西組織, 該組織的代表向 Bleeping Computer 表示,他們用簡單的字典攻擊(dictionary attack),粗暴爆破獲得 TransUnion South Africa 伺服器的訪問權限。伺服器上一個帳戶用「Password」作密碼,黑客使用密碼爆破工具,只需約一秒鐘的時間便猜測出來。 而 TransUnion 表示,該帳戶屬於其授權客戶之一。
儘管 TransUnion 表示這次攻擊不涉及勒索軟件,並只影響了一個「保存有限數據的隔離伺服器」,但黑客組織就報稱,已經竊取了大約 4TB 的數據,並勒索 1,500 萬美元的加密貨幣,以確保數據不洩露,TransUnion 已發表聲明稱不會支付贖金。
黑客一方亦早有準備,N4ughtysecTU 計劃為選定的 TransUnion 客戶提供購買「保險」的機會,相當於承諾不洩露有購買「保險」的特定客戶的數據,這將令陷入事件的小型企業損失 100,000 美元,而規模較大的企業將被要求支付 1,000,000 美元。安全專家強烈建議不要付費,提醒涉事公司應該假設無論付款與否,數據資料都會被洩露。即使此類資訊從未出現在黑客組織常用的公開洩密網站上,數據也很有可能或已經在地下論壇上免費出售、交易或贈送。
TransUnion South Africa 與第三方網絡安全專家和執法官員進行了接觸,該公司推出額外的安全措施,並將向受影響的客戶提供保護身份的產品(identity protection products)。
相關報道:【密碼之戰】Loki 點解會贏咗雷神Thor?
https://www.wepro180.com/lokithor210713/
